image

Autoriteit Persoonsgegevens plaatste trackingcookies op vacaturepagina

vrijdag 28 maart 2025, 13:56 door Redactie, 6 reacties

De Autoriteit Persoonsgegevens (AP) heeft trackingcookies geplaatst bij bezoekers van de eigen vacaturepagina waardoor er 'onbedoeld' gegevens zijn verzameld. Het is niet duidelijk naar welke landen de persoonsgegevens mogelijk zijn geëxporteerd en of deze landen passende waarborgen hebben genomen. Dat heeft de privacytoezichthouder bekendgemaakt.

De cookies werden een aantal dagen in januari geplaatst bij het bezoeken van de 'werkenbij' website van de AP. Een externe leverancier beheert deze website. De toezichthouder is verwerkingsverantwoordelijke en dus verantwoordelijk dat er op deze website géén cookies worden gebruikt. "Dat is dus niet goed gegaan", zo laat de Autoriteit Persoonsgegevens in een uitleg weten.

"Door een technische fout is door de leverancier per ongeluk Google Analytics geactiveerd op werkenbij.autoriteitpersoonsgegevens.nl. Hierdoor zijn er bij het bezoeken van de werkenbij-website analytische/tracking cookies geplaatst en heeft er onbedoeld gegevensverzameling plaatsgevonden." Het gaat dan om ip-adres en technische gegevens over onder andere de gebruikte webbrowser.

"Omdat er tegelijk ook een andere fout was in het systeem, zijn de verzamelde gegevens niet opgeslagen in het Google-account van de leverancier. Maar dat kunnen wij niet met honderd procent zekerheid zeggen. Daarom wordt er een verzoek ingediend bij Google om alle data die met de cookies zijn verzameld te laten verwijderen", zo laat de AP verder weten.

Naast de fout met Google Analytics ging de website ook de fout in met cookies van Cloudflare die in opdracht van videodienst Vimeo werden geplaatst. Via deze cookies die niet geplaatst hadden moeten worden wordt bijgehouden wie op welk moment een video heeft bekeken. De AP heeft bij de leverancier een verzoek ingediend om alle data te verwijderen die door Vimeo met de cookies is verzameld.

De AP voegt toe dat onduidelijk is naar welke landen de persoonsgegevens mogelijk zijn geëxporteerd en of deze landen passende waarborgen hebben genomen. "Volgens Google wordt cookie-informatie in serverlogs binnen 18 maanden geanonimiseerd of verwijderd. Maar de informatie kan op andere plekken mogelijk langer worden bewaard. Cloudflare geeft aan dat wanneer de bewaartermijn voor een bepaald type gegevens verloopt, deze gegevens zullen worden verwijderd/vernietigd."

Eind vorig jaar bleek dat de AP in twee nieuwsbrieven een trackingpixel had meegestuurd. "Bij de AP gaat helaas ook wel eens iets niet goed. In de laatste 2 nieuwsbrieven hebben we onbedoeld een tracking pixel meegestuurd. Deze pixel registreerde of een nieuwsbrief werd geopend", aldus de toezichthouder destijds. "Dit past niet in ons beleid."

Reacties (6)
Ik vind het wel mooi dat de AP een eigen fout niet alleen openlijk toegeeft, maar ook aangrijpt om aan bewustwording bij te dragen.

Vaak heb ik veel kritiek op de AP, maar in dit geval geef ik graag een compliment.

Natuurlijk, het kan zijn dat de AP met deze gedeeltelijke transparantie anderen vóór wilde zijn (wie heeft bijvoorbeeld de fout ontdekt en de AP daarop geattendeerd? Een potentiële sollicitant die de betreffende webpagina bezocht?). Maar dan nog is het een teken van aanspreekbaarheid en een begin van wendbaarheid om er vervolgens zo mee om te gaan.

M.J.
28-03-2025, 14:07 door Anoniem
Dag M.J.
Ik heb in overleg met de AP gewacht met publiceren nadat ik heb heb gemeld en heb geholpen met de opvolging.
Iets meer kan je hier teruglezen: https://floort.net/posts/vimeo_en_google_analytics_cookies_op_ap_vacature_site/
28-03-2025, 14:46 door Anoniem
Nee AP dat is geen technische fout maar een menselijke en dat weten jullie dondergoed. Het is een menselijke fout dat er geen controle vooraf is gedaan en het is een menselijke fout om niet juiste configuratie in te laden en erna meteen te testen. En het is niet de eerste keer dat zo iets mis gaat dus verbeter plan is of niet gemaakt of niet gevolgd.

Het wordt een technische fout als een functie niet werkt zoals je het hebt ingesteld en daardoor gegevens lekken. En fouten maakt iedereen kan gebeuren jada jada maar dat ontslaat je nog niet aan ook de exacte procedure te volgen die je als organisatie dienen te handhaven van andere bedrijven. Er is geen vrijstelling voor het AP om wetten niet te volgen.

Het is verder een mogelijk te rapporteren datalek (niet simpel verkeerde cookies) omdat niet kan worden vastgesteld waar de informatie allemaal beland is. Want IP valt bij deze tracking cookies onder persoonsgegevens.

En welke metadata gaat het om want "technische gegevens over onder andere de gebruikte webbrowser" dat is veel te vaag. gaat het om user agents gaat het om taalinstellingen gaat hetm om versie nummers gaat het om gebruikte plugins wat voor data is ongeautoriseerd meegezonden. Maakt nogal een heel groot verschil want als er een compleet profiel aan metadata van de browser is meegestuurd dan is herleidbaarheid zeer plausibel. Volle lijst dient te worden vrijgegeven dat moeten bedrijven ook in een datalek dossier.

En dan de zin "De AP heeft het probleem samen met de leverancier opgelost en gezorgd dat dit niet nog eens kan gebeuren" kom je niet weg als je als ander bedrijf het bij hun moet melden. Zeker niet als klaarblijkelijk de vorige keer aan maatregelen niet genoeg was om herhaling te voorkomen van een slordigheid.

En hoe zat het ook al weer was het niet dat meldingen binnen 72 uur gedaan moesten worden?
Gezien het 23ste niet meer gebeurde kunnen we concluderen dat het dus al vijf dagen bekend is.
Wat was het ook alweer qua advisering

Ik vind dit onacceptabel voor een organisatie die juist de procedure moet waarborgen en er is geen enkele excuus hier te verzinnen waarom de eigen procedure anders zou moeten zijn nog kan men het hebben over kennisgebrek want dan kan je mij betreft de verantwoordelijke meteen uit hun functie gaan zetten.

Dus hieronder nog maar even wat jullie zelf zeggen AP

1 Communiceer zo snel mogelijk met de slachtoffers
2 Schrijf een simpele en heldere tekst
3 Beschrijf duidelijk en volledig wat er is gebeurd
4 Geef duidelijk aan welke gegevens zijn gelekt
5 Noem de waarschijnlijke gevolgen voor slachtoffers
6 Geef waar mogelijk een specifiek advies aan slachtoffers
7 Beschrijf welke maatregelen uw organisatie neemt
8 Noem een contactpunt waar slachtoffers terechtkunnen met vragen

1 gefaald
2 voldaan
3 voldaan
4 onvoldoende
5 geen benoemd
6 geen benoemd
7 onvolledig
8 voldaan

Dit is beschamend


Door Anoniem: Dag M.J.
Ik heb in overleg met de AP gewacht met publiceren nadat ik heb heb gemeld en heb geholpen met de opvolging.
Iets meer kan je hier teruglezen: https://floort.net/posts/vimeo_en_google_analytics_cookies_op_ap_vacature_site/
Beste Floor hartelijk bedankt voor wel due diligence.
Dit is hoe het hoort en ik deel je zorgen over het AP dat klaarblijkelijk niet haar eigen taken serieus neemt.
28-03-2025, 15:45 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 28-03-2025, 15:46
Door Anoniem: Dag M.J.
Ik heb in overleg met de AP gewacht met publiceren nadat ik heb heb gemeld en heb geholpen met de opvolging.
Iets meer kan je hier teruglezen: https://floort.net/posts/vimeo_en_google_analytics_cookies_op_ap_vacature_site/

Beste Floor, dank voor de verwijzing. Dat werpt wel een iets ander, kritischer licht op de manier waarop de AP ermee is omgegaan. Je formuleert het heel beleefd in de posting op jouw website, maar (ook gezien mijn eigen ervaringen met de AP) herken ik hierin tussen de regels toch ook wel een bepaald gedrag van de AP. Tegelijk herken ik ook wat je schrijft over jouw indruk dat er sinds enige tijd (op sommige plekken?) binnen de AP een wil lijkt te zijn tot verbetering. Het lijkt of er in de AP verschillende krachten tegelijk werkzaam zijn: enerzijds een traditioneel-ambtelijke reflex om te bedekken en zich in te dekken & in concrete zaken vooral niet confronterend te handhaven (maar wel op abstract niveau krachtige retoriek te laten horen met het oog op het eigen imago), maar anderzijds ook intrinsieke impulsen tot verandering, echte daadkracht en effectiviteit en meer transparantie.

Op dit moment, mede op basis van recente ervaringen met ze, is mijn indruk dat, hoewel er impulsen tot verbetering zijn, ze nog niet een waterscheiding gepasseerd zijn. Maar wie weet word ik in de komende periode nog positief verrast.

M.J.
28-03-2025, 15:50 door Anoniem
Bedankt voor de complimenten anoniem. Of het beschamend is kan je volgens mij heel legitiem van mening over verschillen. Ja, de AP zou beter moeten weten/doen. Maar tegelijkertijd is het ook heel normaal. Volgens mij is het belangrijk om ook aandacht te geven aan het herstel van de fout. Daar gaat de AP niet perfect, maar bovengemiddeld goed en beter dan voorheen mee om qua transparantie en het opruimen na een onbedoelde verwerking.

Die 72 uur is nog wel een interessante. Het komt voor mij wel vaker terug. Zijn dit soort incidenten een datalek? Dan had de AP dit binnen 72 uur bij zichzelf moeten melden en zonder onnodige vertraging bij betrokkenen. Andere zien dergelijke incidenten niet als een datalek. Misschien (onterecht) omdat er niet een enge hacker achter zit (cookies zijn niet voor de security afdeling), mischien omdat het stiekem wel een bedoelde maar niet zo rechtmatige verwerking was. Ik hoor vreemde argumenten. Ik heb het in dit geval tegen artikel 14 AVG aangehouden omdat dat de meest ruimhartige interpretatie is. En dan zit je met 14(3)(a) die, als je het eerste stuk negeert omdat de AP dat niet heeft gehaald met een termijn van maximaal een maand. Ik heb geprobeerd om de AP te motiveren om betrokkenen dan in ieder geval binnen die maand te informeren. De AP heeft ervoor gekozen om ook dat niet te doen en geeft publiekelijk daar ook geen uiteg over.

Ook inhoudelijk zijn de datalek-route en artikel 14 een beetje verschillend. Maar als je artikel 14 erbij pakt komt de AP er een stuk beter uit. En ik denk dat voor punt 6 ook beter is. Betrokkenen zouden niets moeten doen. De AP heeft een fout gemaakt, dus de AP mag het proberen op te lossen.

Hoe de AP de verwijdering van de gegevens gaat opvolgen wordt nog een interessante. Laten ze betrokkenen weten als het is gelukt? En ook als het niet is gelukt? En laat de AP het erbij zitten als ze geen reactie of een weigering krijgen?
28-03-2025, 20:58 door Anoniem
Door Anoniem: Bedankt voor de complimenten anoniem. Of het beschamend is kan je volgens mij heel legitiem van mening over verschillen. Ja, de AP zou beter moeten weten/doen. Maar tegelijkertijd is het ook heel normaal. Volgens mij is het belangrijk om ook aandacht te geven aan het herstel van de fout. Daar gaat de AP niet perfect, maar bovengemiddeld goed en beter dan voorheen mee om qua transparantie en het opruimen na een onbedoelde verwerking.

Die 72 uur is nog wel een interessante. Het komt voor mij wel vaker terug. Zijn dit soort incidenten een datalek? Dan had de AP dit binnen 72 uur bij zichzelf moeten melden en zonder onnodige vertraging bij betrokkenen. Andere zien dergelijke incidenten niet als een datalek. Misschien (onterecht) omdat er niet een enge hacker achter zit (cookies zijn niet voor de security afdeling), mischien omdat het stiekem wel een bedoelde maar niet zo rechtmatige verwerking was. Ik hoor vreemde argumenten. Ik heb het in dit geval tegen artikel 14 AVG aangehouden omdat dat de meest ruimhartige interpretatie is. En dan zit je met 14(3)(a) die, als je het eerste stuk negeert omdat de AP dat niet heeft gehaald met een termijn van maximaal een maand. Ik heb geprobeerd om de AP te motiveren om betrokkenen dan in ieder geval binnen die maand te informeren. De AP heeft ervoor gekozen om ook dat niet te doen en geeft publiekelijk daar ook geen uiteg over.

Ook inhoudelijk zijn de datalek-route en artikel 14 een beetje verschillend. Maar als je artikel 14 erbij pakt komt de AP er een stuk beter uit. En ik denk dat voor punt 6 ook beter is. Betrokkenen zouden niets moeten doen. De AP heeft een fout gemaakt, dus de AP mag het proberen op te lossen.

Hoe de AP de verwijdering van de gegevens gaat opvolgen wordt nog een interessante. Laten ze betrokkenen weten als het is gelukt? En ook als het niet is gelukt? En laat de AP het erbij zitten als ze geen reactie of een weigering krijgen?
Ik ben er kritischer op omdat het niet de eerste keer is en dit routine werk is.

Je hebt automatisering tools op de markt die je site legaal kunnen crawlen om het uur of korter en alerts aanmaken bij requests buiten gespecificeerde lijsten. Dat kan je ook in house ontwikkelen als je wilt niet zo complex iets meeste van de code heb je al in je browser en servers het is puurt het visualiseren van de data. Dus voor een organisatie als het AP met hopelijk wel wat knappe koppen is er echt geen excuus om te zeggen dat ze er later achter kwamen.

Aangaande datalek. Wat is een datalek.
Inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderzins verwerkte gegevens.

Dan kijkend naar het type inbreuk.
De inbreuk op de vertrouwelijkheid: Er is sprake van een onbedoelde verstrekking van of toegang tot persoonsgegevens.

Dus ja er is een datalek.
En omdat het AP verzuimd vrij te geven welke exacte type data is gelekt kan een getroffenen niet een risico en impact analyse uitvoeren.

Mischien valt het mee maar tot is bewezen wat voor metadata en fingerprint informatie van de browser is verzameld en verstrekt dien je al als organisatie verantwoordelijk voor het datalek een worst case scenario te volgen. Er zijn honderden waarden die een browser uit kan sturen sommige niks waard andere zijn een goud mijn

Je mag verwachten dat ze dat begrijpen ze beoordelen after all meldingen op volledigheid.

En dan komen we op het volgende moet het daarom gemeld worden als een datalek en naar enige betrokkenen. Wel als er aanneemlijke risico is op schade of gevaar van getroffenen ja. En zonder te weten welke data types het om gaat is dat dus een aanneembaar risico tot het tegendeel kan worden bewezen. Dat is mijn argumentatie.


Trouwens mocht je de tool nog niet kennen ik adviseer sterk European Data Protection Board website auditng tool.
Het maakt je leven stukken makkelijker met compliancy reporting en auditing. https://www.edpb.europa.eu/our-work-tools/our-documents/support-pool-expert-projects/edpb-website-auditing-tool_en

Misschien kan het AP de volgende keer dit ook even gebruiken.
Afterall het komt uit hun eigen EU kringen ;)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.