Vreemde communicatie websites politieke partijen

De websites van politieke partijen worden in aanloop naar de verkiezingen weer meer bezocht door kiezers. Als die websites gebruik maken van bijvoorbeeld Google of Facebook dan zouden ze nog weleens politieke voorkeuren kunnen doorgeven aan zulke diensten waarvan er twijfels zijn over de privacy-ethiek. Reden voor een klein onderzoekje.

Privacy websites

Wanneer een bezoeker een website oproept dan communiceert de server van die website met de browser (Chrome, Edge etc.) van de bezoeker. Dat is over het algemeen een vertrouwd gebeuren dankzij versleutelingstechnieken en dergelijke. Wat veel mensen echter niet weten is dat de browser vaak vervolgens nog communiceert met andere, onbekendere servers. Dit gebeurt op initiatief van de website zelf. Het voert wat te ver om dit nu uit te leggen. Het belangrijkste is dat je als bezoeker hier in vaak geen weet van hebt en er in eerste instantie ook geen controle over hebt.

Het kan dus zijn dat een op het oog onschuldige website, op de achtergrond gegevens van de bezoeker doorstuurt naar bijvoorbeeld Facebook. Daarmee beschikt Facebook dan over bijvoorbeeld het ip-adres, de mogelijke politieke voorkeur en andere specifieke informatie behorende bij de bezoeker. Bij veel andere websites is dit voor een bezoeker misschien niet zo’n probleem maar in het geval van politiek gekleurde websites ligt dat voor veel mensen wel anders.

Externe diensten

De vraag is nu: welke websites van de partijen communiceren nu met welke externe diensten zoals Facebook, Google en bij welke diensten is dat een probleem op het gebied van privacy?

Om die vraag te beantwoorden heb ik van elke partijwebsite data verzameld over de communicatie die het voert met alle servers behalve die van de website zelf. Stel dat je www.pvda.nl oproept dan zie ik alle communicatie met *.pvda.nl als communicatie met servers die in beheer zijn van de PvdA. Hier is iets op af te dingen maar gezien de verzamelde data is dat in dit geval niet relevant. Met de data is te bepalen hoe vaak een partijwebsite communiceert met bepaalde externe servers.

Belangrijk: alle data is verzameld vóór er toestemming is gegeven voor het plaatsen van niet-functionele cookies zoals tracking cookies.

Het eindresultaat is de volgende tabel die wat moeilijk hier overzichtelijk te plaatsen is. Vandaar dat eronder een screenshot staat van een script wat ik speciaal geschreven heb om de data om te zetten in een begrijpbaar geheel.

Bekijk onderstaande tabel beeldvullend op Pastebin

Externe server/partij           FVD   CU   CDA   50PLUS  VVD   SGP   PVV   DENK   PVDA   SP   D66   GL   PVDD
------------------------------  ----- ---- ----- ------- ----- ----- ----- ------ ------ ---- ----- ---- -----
ajax.googleapis.com             -     -    -     -       -     -     -     1      -      -    -     -    -
cdn.jsdelivr.net                -     -    -     -       1     -     -     -      -      -    -     -    -
cdnjs.cloudflare.com            -     -    -     -       2     -     -     -      -      -    -     -    -
cloud.typenetwork.com           -     -    -     -       4     -     -     -      -      -    -     -    -
code.jquery.com                 1     -    -     -       1     -     -     -      -      -    -     -    -
connect.facebook.net            4     -    -     -       -     -     -     -      -      -    -     -    -
d2vry01uvf8h31.cloudfront.net   -     -    11    -       -     -     -     -      -      -    -     -    -
f1-eu.readspeaker.com           -     -    6     -       -     -     -     -      -      -    -     -    -
fonts.googleapis.com            1     -    -     3       -     1     -     2      1      -    -     -    -
fonts.gstatic.com               -     2    -     6       -     5     -     1      -      -    -     -    -
googleads.g.doubleclick.net     -     3    -     -       -     -     -     -      -      -    -     -    -
graph.facebook.com              2     -    -     -       -     -     -     -      -      -    -     -    -
i.ytimg.com                     6     1    -     -       -     -     -     -      -      -    -     -    -
maps.googleapis.com             4     -    -     -       -     -     -     -      -      -    -     -    -
maxcdn.bootstrapcdn.com         -     -    -     -       -     2     -     -      -      -    -     -    -
s.ytimg.com                     1     1    -     -       -     -     -     -      -      -    -     -    -
static.doubleclick.net          -     1    -     -       -     -     -     -      -      -    -     -    -
staticxx.facebook.com           1     -    -     -       -     -     -     -      -      -    -     -    -
stats.g.doubleclick.net         2     -    -     -       -     -     -     1      -      -    -     -    -
vvd.webpower.eu                 -     -    -     -       2     -     -     -      -      -    -     -    -
www.14d..35-gdprlock 1)         -     -    -     -       -     -     4     -      -      -    -     -    -
www.c54..a6-gdprlock 2)         -     -    -     -       -     -     2     -      -      -    -     -    -
www.facebook.com                3     -    -     -       -     -     -     -      -      -    -     -    -
www.google-analytics.com        3     2    -     2       -     1     1     2      2      3    -     -    -
www.google.com                  2     1    -     -       -     -     -     -      -      -    -     -    -
www.google.nl                   2     -    -     -       -     -     -     -      -      -    -     -    -
www.googleapis.com              4     -    -     -       -     -     -     -      -      -    -     -    -
www.googletagmanager.com        1     1    -     -       -     -     1     1      -      -    -     -    -
www.gstatic.com                 1     -    -     -       -     -     -     -      -      -    -     -    -
www.youtube.com                 1     8    -     -       -     -     -     -      -      -    -     -    -
yt3.ggpht.com                   -     1    -     -       -     -     -     -      -      -    -     -    -
                                                         
Totaal                          39    21   17    11      10    9     8     8      3      3    0     0    0

1) www.14dd5266c70789bdc806364df4586335-gdprlock
2) www.c54e4e5635912ef26f54b51cd9a13fa6-gdprlock

Wat valt op of is belangrijk

  • Forum voor Democratie (FVD) benadert 17 verschillende externe servers en communiceert in het totaal 39 keer met ze. Dat is veruit meer dan de overige websites.
  • D66, GroenLinks en Partij voor de Dieren gebruiken helemaal geen externe servers.
  • 8 van de 17 websites gebruikt Google Analytics.
  • FVD heeft de enige site die gebruik maakt van Facebook.
  • Alhoewel het CDA veel communiceert met externe servers, gaat het maar om 2 unieke servers van Amazon (reguliere hosting) en Readspeaker (een tekst-naar-spraak-service).
  • Bij de PVV wordt er geprobeerd verbinding te maken met domeinen die eindigen op -gdprlock. Dit zijn geen geldige domeinen en ze kunnen ook niet geregistreerd worden. Ze zijn het resultaat van een script op de website die voorkomt dat er verbinding gelegd wordt met bepaalde servers voordat de bezoeker toestemming geeft voor cookies.
  • Niet alle servers leveren tracking-diensten. Domeinen met daarin het woord ‘cdn’ of ‘cloud’ zijn in deze lijst vaker gewoon hosting-diensten voor het leveren van afbeeldingen of scripts.

Conclusie

Een meerderheid van de partijen maakt al verbinding met tracking-diensten voordat er toestemming is gegeven voor het plaatsen van niet-functionele cookies. Of er dan ook al daadwerkelijk sprake is van tracking, is op basis van deze data niet te zeggen. Maar de websites van de partijen zouden het zekere voor het onzekere moeten nemen en gewoon niet eerder verbinding moeten maken met deze externe servers die tracking-diensten leveren.