De Belastingdienst heeft onlangs een datalek gemeld bij de Autoriteit Persoonsgegevens. Niet vanwege een hack of een phishing-aanval, maar vanwege Adobe Analytics. Een stukje trackingsoftware dat in de betaalomgeving actief was en zonder toestemming gedragsdata doorstuurde naar Adobe, inclusief specifieke vorderingen en openstaande aanslagen van burgers.
Dit klinkt misschien als een overheidsding maar de kern van het probleem speelt volgens ons bij vrijwel elke organisatie: third-party tools die in gevoelige digitale omgevingen draaien, zonder dat iemand precies weet welke data er naartoe gaat..
Wat is er precies gebeurd?
Onderzoeker Mick Beer ontdekte dat Adobe Analytics actief meeliep in de betaalflow van de Belastingdienst. De software registreerde niet alleen standaard websitebezoek, maar ook financiële gegevens: welke aanslag iemand opende, welk bedrag openstond. Die data werd zonder toestemming of wettelijke grondslag naar Adobe gestuurd, een Amerikaans bedrijf buiten de EU.
Staatssecretaris Eerenberg bevestigde in een brief aan de Tweede Kamer dat de Belastingdienst een datalekmelding heeft gedaan bij de AP en de functionaliteit heeft uitgeschakeld. Momenteel loopt er een inventarisatie naar vergelijkbare tooling op andere onderdelen van de website.
Waarom analytics-tools veiligheidsrisico’s zijn
Analytics-tools worden in veel organisaties gezien als veilig. Ze worden ingesteld door een marketeer of UX-specialist, niet door een security-afdeling of uberhaupt een security professional. Ze doorlopen zelden een DPIA voor gevoelige pagina’s. En als ze eenmaal live staan, kijkt niemand er meer naar om.
Maar daar vergissen we ons te vaak: analytics-tools zijn dataverwerkers. Ze ontvangen alles wat jouw gebruikers doen, inclusief de context. Is iemand ingelogd? Dan is gedragsdata direct herleidbaar tot een persoon. Bevindt die gebruiker zich in een betaalflow, een HR-portaal of een medische omgeving? Dan gaat het al snel om gevoelige of bijzondere persoonsgegevens.
Herken jij dit binnen jouw team?
Dit zijn situaties die wij bij organisaties vaker tegenkomen dan je zou denken:
- Je klantenportaal of bestelomgeving bevat analytics-scripts die ook op ingelogde pagina’s actief zijn.
- Iemand uit het marketingteam heeft ooit een tag in Google Tag Manager gezet maar niemand weet meer precies wat die doet.
- Je hebt een verwerkersovereenkomst met je CRM-leverancier, maar niet met alle scripts die via de website data ontvangen.
- Je privacybeleid beschrijft de tools van twee jaar geleden, niet de tools van die vandaag gebruikt worden.
Als één of meer van deze situaties herkenbaar zijn, loopt jouw organisatie een vergelijkbaar risico als de Belastingdienst. Met één verschil: de AP is bij grote bedrijven minder coulant in haar handhaving.
Wat zegt de AVG hier eigenlijk over?
De AVG vereist dat je als verwerkingsverantwoordelijke weet welke data je verwerkt, op welke grondslag, met welke partijen je die data deelt, en of er sprake is van doorgifte buiten de EER. Adobe is een Amerikaans bedrijf. Het inzetten van Adobe Analytics of Google Analytics, Hotjar, of andere tools, waarbij persoonsgegevens van EU-burgers naar de VS gaan, vereist een juridische grondslag voor die doorgifte.
Voor gevoelige verwerkingen zoals financiële gegevens, gezondheidsdata, profielinformatie geldt bovendien een verzwaarde plicht: je moet een DPIA uitvoeren vóórdat je die verwerking start.
5 stappen die je nú kunt zetten
Inventariseer je third-party scripts
Weet je welke externe scripts op je website en in je portalen actief zijn? Tools als Ghostery of een professionele tag-audit geven je een actueel overzicht. Tag Managers zijn hierbij zowel oplossing als risico.
- Segmenteer op gevoeligheid. Niet iedere pagina is gelijk. Stel per omgeving vast welke data mag worden verzameld en welke scripts zijn toegestaan je marketingsite vraagt andere regels dan een ingelogde klantomgeving.
- Voer een DPIA uit voor analytics in gevoelige omgevingen. Is er sprake van bijzondere persoonsgegevens of financiële data op grote schaal? Dan is een DPIA verplicht. Het hoeft geen maandenlang traject te zijn — maar het moet wél gedaan zijn.
- Controleer je verwerkersovereenkomsten. Met hoeveel analytics- en marketingleveranciers heb je een actuele verwerkersovereenkomst? En dekt die overeenkomst ook de doorgifte naar de VS of andere landen buiten de EER?
- Maak privacy onderdeel van je releaseproces. Elke keer dat een nieuwe tool wordt geïntegreerd of een script wordt toegevoegd, hoort er een privacy-check bij. Een simpele checklist in je CI/CD-pipeline volstaat in veel gevallen.
Veel organisaties missen de kennis
Cyber security is een vak apart. Niet iedere organisatie heeft een professional in huis die weet hoe je analytics-scripts beoordeelt vanuit een privacyperspectief, een (pre-) DPIA opstelt of een data-inventarisatie uitvoert. Dat hoeft ook niet — als je maar weet waar je die kennis wél vandaan haalt.
Wat wij in de praktijk zien: veel organisaties zetten een young professional cyber security in op dit soort vraagstukken. Niet voor tijdelijke inzet, maar als iemand die écht in de organisatie duikt, de risico’s in kaart brengt en concrete verbeteringen doorvoert. Denk aan het opzetten van een dataverwerkingsregister, het screenen van third-party tools of het uitvoeren van een DPIA-traject.
Dat heeft een groot voordeel: je krijgt frisse ogen én actuele vakkennis, zonder dat je jarenlang hoeft te wachten op een vaste aanstelling of dure consultant.
Wacht niet tot iemand anders het ontdekt
De Belastingdienst heeft adequaat gehandeld nadat het probleem aan het licht kwam: de tool is uitgeschakeld, er is gemeld bij de AP en de Kamer is geïnformeerd. Maar het probleem had nooit mogen ontstaan.
Privacy-incidenten via analytics-tools zijn inmiddels zo gangbaar dat de AP er actief op handhaaft. De vraag is niet óf jouw organisatie hier kwetsbaar voor is, maar wanneer iemand dat kwetsbaarheid ontdekt. Een ethisch hacker, een journalist, een toezichthouder. Laat dat moment niet het startpunt zijn van je privacybeleid.
Wil je grip krijgen op de cyber security-risico’s in jouw digitale omgeving?
Benieuwd waar de grootste risico’s binnen jouw organisatie zitten? Of hoe je voorkomt dat belangrijke vraagstukken blijven liggen? In onze eerdere blog over DPIA’s lees je hoe je risico’s rondom dataverwerking structureel in kaart brengt en beheerst. Wil je sparren over hoe dit er binnen jouw organisatie uitziet? Dan denken we graag met je mee!
