Oktober

De tussenstand voor de Rijksoverheid van oktober: Het webregister is deze maand ge-update en omvat nu 1052 websites. Daarvan bevatten 588 domeinnamen third party elements (3pes). Voor zover bekend zijn het er 721 third party elements in totaal. Aangezien er slechts 925 sites actief waren, gaat het om 64% van het aantal actieve domeinnamen en om 56% van het gehele websiteregister. Op 337 sites zijn geen 3pes gedetecteerd.

Voor een uitgebreid overzicht zie: lijst gesorteerd op type third partylijst domeinnamen en lijst domeinnamen met bijbehorende third party elements.

De resultaten suggereren dat er 3pes verwijderd zijn vergeleken met vorige maand. Er zijn 78 domeinnamen uit de resultatenlijst verdwenen. Sommige websites hebben inderdaad wijzigingen doorgevoerd (de onderwijsraad vraagt nu bijvoorbeeld toestemming om Google Analytics te mogen gebruiken). In andere gevallen heeft het echter te maken met het feit dat het Websiteregister geüpdate is. Bij een vergelijking met ‘Webtrends treffers’ uit september viel op dat raadvoordekinderbescherming.nl in oktober uit het lijstje resultaten verdwenen is. De site gebruikt echter nog steeds Webtrends, zie screenshot van sitebezoek met Ghostery hieronder:

Het verschil is te verklaren doordat de Rijksoverheid de site sinds 24 Oktober niet meer in het Webregister heeft opgenomen, vermoedelijk omdat hij doorverwijst naar kinderbescherming.nl. In september werden de websites apart meegerekend. Verder zijn de oktobersites nog niet gecontroleerd op valsnegatieven.

Informatie over de gebruikte methode is te vinden op deze wiki.

September

Het websiteregister van de Rijksoverheid bleek geüpdate op 17 september 2012. De totale lijst bestaat nu uit 1088 websites. Daarvan zijn 913 sites actief. De rest is niet actief of verwijst door naar de site van een hostingbedrijf. Op ongeveer 658 van de 913 actieve domeinnamen zijn third party elements aanwezig. Dat is bijna 72% van de actieve domeinnamen (en 60% van het gehele website register) [1]. In totaal zijn er 803 third party elements gedetecteerd van 36 third party services.

Het wordt interessant op het moment dat je de lijst resultaten sorteert op type 3pe en op naam. Zo kan je zien welke websites dezelfde 3pes gebruiken. Neem bijvoorbeeld: Webtrends. Webtrends (zie het paarse gedeelte in de illustratie hieronder). Webtrends zit achter onder andere kinderbescherming.nl en adviescollegeverloftoetsingtbs.nl.

Uit mijn cookie-instellingen blijkt dat Webtrends het IP-adres van de bezoeker opslaat middels een cookie. De host van de cookie voor beide websites is ‘minjus.sdc.imetrix.nl’. Vermoedelijk weet Imetrix, een bedrijf dat hosting en analytics aanbiedt, dat een gebruiker met hetzelfde IP-adres beide sites heeft bezocht. Cross-website analyse is een onderdeel van het profileren van internetgebruikers: doordat internetgebruikers bepaalde sites bezoeken, kunnen zij worden geprofileerd in bepaalde ‘typen’. Heel kort door de bocht: in dit voorbeeld is de persoon met mijn IP-adres een internetgebruiker met interesse in de kinderbescherming en in het TBS systeem. Het Ministerie van Veiligheid en Justitie laat blijkbaar meerdere van haar websites laat hosten en analyseren door eenzelfde bedrijf. Het zou interessant zijn om te weten wat imetrix met deze gegevens doet. Eind september waren er 23 sites van het Ministerie van Justitie en Veiligheid waar Webtrends op geïmplenteerd was. Zie dit bestand voor een lijst van 3pes gesorteerd op type. Andere (alfabetische) lijsten zijn beschikbaar op de onderzoekswiki van dit project.

[1] Matthijs Koot van Madison Gurkha heeft eind september een verwant onderzoek uitgevoerd en komt in het paper ‘A Survey of Privacy & Security Decreasing Third-Party Content on Dutch Websites‘ tot vergelijkbare resultaten.

Augustus

Websites Rijksoverheid vol met derden

Aanleiding voor dit onderzoek was de kritiek die in augustus 2012 geuit werd richting de Rijksoverheid:  vanwege het gebruik van cookies op de websites rijksoverheid.nl en government.nl, zou de Rijksoverheid niet voldoen aan de Telecommunicatiewet, Artikel 11.7a, de wet die bepaalt dat toestemming vereist is wanneer men zich toegang verschaft tot randapparatuur van een gebruiker om data te verzamelen of op te slaan. Op 9 augustus 2012 berichtte de Rijksoverheid daarom de cookies op deze twee websites uit te schakelen en te inventariseren of aanpassingen nodig zijn op overige websites in haar beheer.

Het ‘Websiteregister Rijksoverheid‘ laat zien dat de Rijksoverheid de verantwoordelijkheid heeft over ongeveer 1100 websites. Deze domeinnamen zijn niet allemaal letterlijk in eigendom van de Rijksoverheid, maar ze worden wel gepresenteerd als zijnde in beheer van de Rijksoverheid. Dit Websiteregister Rijksoverheid is met behulp van een online tool, de ‘Tracker Tracker’, ontwikkeld door het Digital Methods Initiative (DMI), gecontroleerd op de aanwezigheid van ‘third party elements’ (3pes). Het begrip ‘third party elements’ verwijst naar technieken achter websites die data van bezoekers verzamelen en analyseren. De software maakt hierbij gebruik van het principe van Ghostery. Meer informatie over de tool (bèta) is beschikbaar op de Tracking the Trackers Workshop-pagina van het DMI.

Het eerste onderzoekje vond plaats tussen 9 -11 augustus. Toen zaten er third party elements op 684 domeinnamen van de 1110 websites. Dat is ongeveer 60%. In totaal waren het 840 third party elements van 39 services. Op 426 urls was niets te vinden, wat overigens niet betekent dat ze er niet zijn, aangezien Ghostery’s detectiemethode niet helemaal compleet is. 76 domeinnamen verbonden niet met de server. Eind augustus heb ik het onderzoekje nog een keer herhaald. Toen vond ik opnieuw op ongeveer 60% (696 domeinnamen) third party elements. In totaal zijn er rond de 856 third party elements gedetecteerd van 38 bedrijven. Opvallend is dat bijna alle ambassades Google Analytics gebruiken.

Hieronder een visualisatie of the relatieve aanwezigheid van 3pes. De grootte verwijst naar de hoeveelheid 3pes; de kleur naar het type. Ghostery onderscheidt onderstaande 3pe’s:

  • Advertiser (AD): a 3pe that delivers advertisements
  • Analytics (AN): a 3pe that provides research/analytics for website publishers
  • Tracker (T): a 3pe that exists only to track user behavior
  • Widget (W): 3pes that provide some kind of page function (comment forms, “Like” buttons, …)
  • Privacy (P): 3pes that disclose data practices involved in delivering an ad. (http://www.knowyourelements.com)

Hieronder een visualisatie of the relatieve aanwezigheid van 3pes. De grootte verwijst naar de hoeveelheid 3pes; de kleur naar het type.

Google Analytics is de grootste. Je kan uit de visualisatie hieronder concluderen dat een relatief klein aantal bedrijven een groot aantal 3pes heeft op de websites van de Rijksoverheid.

Op iets meer dan 400 domeinnamen werden geen third party elements aangetroffen.

Of voor de aangetroffen 3pes ook toestemming moet worden gevraagd aan de internetgebruiker, is afhankelijk van de functie van het third party element.