image

CBS: bijna zeventig procent online platformen verzamelt gebruikersgegevens

dinsdag 12 september 2023, 10:04 door Redactie, 9 reacties
Laatst bijgewerkt: 12-09-2023, 10:23

Bijna zeventig procent van de Nederlandse online platformen verzamelde vorig jaar gegevens van gebruikers, zo stelt het Centraal Bureau voor de Statistiek (CBS). Het statistiekenbureau omschrijft online platformen als websites of apps die bemiddelen tussen afnemers en aanbieders van goederen, diensten of informatie. Bij 82 procent van de online platformen die gebruikersgegevens verzamelt is op de website terug te vinden welke gegevens precies worden verzameld. Twaalf procent vermeldt gedeeltelijk om welke gegevens het gaat en zeven procent laat helemaal niet weten welke gegevens worden verzameld.

Online platformen die zich richten op bemiddeling in diensten verzamelen vaker gebruikersgegevens (76 procent) dan platformen die zich richten op communicatie (66 procent), goederen (66 procent) of informatie (61 procent). Platformen die zich alleen richten op bedrijven verzamelen relatief weinig gebruikersgegevens (56 procent). Verder stelt het CBS dat bijna één op de drie online platformen in Nederland vorig jaar van algoritmen gebruikmaakte.

68 procent van de platformen gebruikte algoritmen om gebruikers van het platform te koppelen, de zogenaamde matching. Voor de gebruikers van het platform is niet altijd duidelijk hoe dit werkt en hoe deze matching gedaan wordt, zo stelt het statistiekenbureau. 45 procent van de platformen geeft aan dat op de website is te vinden uit welke beslisregels het algoritme bestaat, 55 procent doet dat niet.

Er bestaat geen compleet register van alle online platformen in Nederland. "Iedereen kan een website starten, zonder zich ergens officieel te registreren als platform", aldus het CBS. Om te bepalen welke online platformen er zijn in Nederland, heeft het CBS gebruikgemaakt van webscraping, modellering en machine learning. Dit leverde een lijst met bedrijven op. Uiteindelijk zijn er ongeveer 4650 bedrijven benaderd om een enquête over dataverzameling in te vullen. Dit werd door elfhonderd online platformen gedaan.

Reacties (9)
12-09-2023, 10:16 door Anoniem
Een duidelijke definitie van 'online platform' zou wel handig zijn in dit verband.
12-09-2023, 10:26 door Anoniem
Ik hoor een gevalletje AP onderzoek aankomen, toch?
Of heeft Aleid weer een fantastische reden om dat (weer) niet te doen?
12-09-2023, 10:34 door Erik van Straten
Ik schat dat meer dan 90% van de online platformen de webbrowsers van bezoekers verbinding laten maken met minstens één, doch vaak vele, third-party websites (en die op hun beurt opnieuw met nog weer andere sites) waardoor het soms om een lawine van websites gaat die gegevens van bezoekers verzamelen.

Vaak gaat het bij die third party sites om diensten die handig maar kostenloos of zelfs lucratief zijn voor first party sites. Rara wie betaalt dat waarmee. En omdat elk van die third party sites benaderd wordt bij het bezoeken van verschillende first party sites, is mensen profileren een peuleschil voor hen.

https://www.cbs.nl/ laat jouw browser in elk geval Javascript ophalen en uitvoeren vanaf:
cdn.cbs.nl [1]
cdnjs.cloudflare.com
cdn.jsdelivr.net
cbs.containers.piwik.pro
w.usabilla.com

Bijvoorbeeld die laatste vier worden door zeer veel websites gebruikt. Cijfers over wat uitsluitend first party sites aan informatie van bezoekers verzamelen, zijn op z'n minst nietszeggend, maar feitelijk misleidend.

[1] Kan stukken beter: https://internet.nl/site/cdn.cbs.nl/2325290/
12-09-2023, 10:56 door Anoniem
Door Erik van Straten:
[1] Kan stukken beter: https://internet.nl/site/cdn.cbs.nl/2325290/
Moet je wel de juiste site testen he... https://internet.nl/site/cbs.nl/2325370/ Is wel makkelijk scoren zo.

cdn. sites zijn altijd lager in security, omdat die alleen domme content verspreiden.

TheYOSH
12-09-2023, 12:38 door Erik van Straten - Bijgewerkt: 12-09-2023, 12:39
Door Anoniem:
Door Erik van Straten:
[1] Kan stukken beter: https://internet.nl/site/cdn.cbs.nl/2325290/
Moet je wel de juiste site testen he... https://internet.nl/site/cbs.nl/2325370/ Is wel makkelijk scoren zo.

cdn. sites zijn altijd lager in security, omdat die alleen domme content verspreiden.

TheYOSH
Sinds wanneer is Javascript domme content?

Belangrijker: de nameserver ondersteunt geen DNSSEC en voor de routering wordt RPKI niet gesupport. Als een aanvaller onterecht een certificaat weet te verkrijgen voor cdn.cbs.nl, dan kan die nepsite content naar keuze naar bezoekers van www.cbs.nl sturen.

Nb. zolang ALLE links op www.cbs.nl naar cdn.cbs.nl met https:// beginnen, is HSTS irrelevant. Nb. het zetten van een HSTS-header is altijd verstandig, voor het geval er ergens op www.cbs.nl nog een verwijzing naar http://cdn.cbs.nl over het hoofd gezien is.

Maar er is meer niet in orde op cdn.cbs.nl (ondersteunde ciphers, DH-parameters, X-Content-Type-Options, CSP, security.txt, en al genoemd: DNSSEC, RPKI); dat kan gewoon allemaal beter en is relevant.

Zelfs als een "CDN" alleen maar domme statische content (zoals plaatjes) levert, zijn er allerlei aanvalsscenario's denkbaar voor een nepsite met dezelfde domeinnaam en/of een geslaagde AitM-aanval. In dit specifieke geval vraagt www.cbs.nl om Javascript vanaf cdn.cbs.nl, dus kun je er donder op zeggen dat een eventuele CSP op www.cbs.nl de uitvoering van JS vanaf cdn.cbs.nl toestaat. M.a.w., als de beveiliging van cdn.cbs.nl minder is dan van www.cbs.nl, dan is cdn.cbs.nl simpelweg de zwakste schakel.
12-09-2023, 12:53 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten:
[1] Kan stukken beter: https://internet.nl/site/cdn.cbs.nl/2325290/
Moet je wel de juiste site testen he... https://internet.nl/site/cbs.nl/2325370/ Is wel makkelijk scoren zo.

cdn. sites zijn altijd lager in security, omdat die alleen domme content verspreiden.

TheYOSH
Sinds wanneer is Javascript domme content?

Belangrijker: de nameserver ondersteunt geen DNSSEC en voor de routering wordt RPKI niet gesupport. Als een aanvaller onterecht een certificaat weet te verkrijgen voor cdn.cbs.nl, dan kan die nepsite content naar keuze naar bezoekers van www.cbs.nl sturen.

Nb. zolang ALLE links op www.cbs.nl naar cdn.cbs.nl met https:// beginnen, is HSTS irrelevant. Nb. het zetten van een HSTS-header is altijd verstandig, voor het geval er ergens op www.cbs.nl nog een verwijzing naar http://cdn.cbs.nl over het hoofd gezien is.

Maar er is meer niet in orde op cdn.cbs.nl (ondersteunde ciphers, DH-parameters, X-Content-Type-Options, CSP, security.txt, en al genoemd: DNSSEC, RPKI); dat kan gewoon allemaal beter en is relevant.

Zelfs als een "CDN" alleen maar domme statische content (zoals plaatjes) levert, zijn er allerlei aanvalsscenario's denkbaar voor een nepsite met dezelfde domeinnaam en/of een geslaagde AitM-aanval. In dit specifieke geval vraagt www.cbs.nl om Javascript vanaf cdn.cbs.nl, dus kun je er donder op zeggen dat een eventuele CSP op www.cbs.nl de uitvoering van JS vanaf cdn.cbs.nl toestaat. M.a.w., als de beveiliging van cdn.cbs.nl minder is dan van www.cbs.nl, dan is cdn.cbs.nl simpelweg de zwakste schakel.
Javascript is überhaubt geen content.
12-09-2023, 14:17 door Anoniem
Door Erik:
https://www.cbs.nl/ laat jouw browser in elk geval Javascript ophalen en uitvoeren vanaf:
cdn.cbs.nl [1]
cdnjs.cloudflare.com
cdn.jsdelivr.net
cbs.containers.piwik.pro
w.usabilla.com

Bijvoorbeeld die laatste vier worden door zeer veel websites gebruikt. Cijfers over wat uitsluitend first party sites aan informatie van bezoekers verzamelen, zijn op z'n minst nietszeggend, maar feitelijk misleidend.
Lees je hierover iets terug terug in hun privacystatement? Helemaal niets https://www.cbs.nl/nl-nl/over-ons/dit-zijn-wij/onze-organisatie/privacy.
"Bij 82 procent van de online platformen die gebruikersgegevens verzamelt is op de website terug te vinden welke gegevens precies worden verzameld." is dan ook klinkklare onzin. Want zoals het CBS het dus doet geldt voor 99 procent van de websites, dat het delen van data/persoonsgegevens met derde partijen niet terug te vinden is in hun privacystatement.
Wanneer je hier dan naar vraagt welke gegevens zij exact delen en hoe je deze weer kunt laten verwijderen blijft het standaard bijna altijd angstvallig stil. In een zeldzaam geval krijg je de drogreden terug: 'wij vinden privacy wel degelijk belangrijk'.
12-09-2023, 16:40 door Anoniem
Door Anoniem: Een duidelijke definitie van 'online platform' zou wel handig zijn in dit verband.
Uit het artikel hierboven:
Het statistiekenbureau omschrijft online platformen als websites of apps die bemiddelen tussen afnemers en aanbieders van goederen, diensten of informatie.
Ik vind dit een heel duidelijke definitie. Maar met een duidelijke definitie heb je niet volautomatisch een overzicht van alles wat aan die definitie voldoet, dat kan nog heel wat onderzoek vergen.
13-09-2023, 08:35 door Anoniem
Door Anoniem: Een duidelijke definitie van 'online platform' zou wel handig zijn in dit verband.

Zie het CBS artikel zelf: 'Online platformen zijn websites of apps die bemiddelen tussen afnemers en aanbieders van goederen, diensten of informatie.'
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.