Digitale privacy en externe content: nieuwe inzichten

We krijgen vaak verzoeken van gemeentes om externe content in te sluiten in de website. Denk bijvoorbeeld aan een Youtube-filmpje, een ReadSpeaker-script, of zelf de afbeelding van de toegankelijkheidsverklaring als html-code in een pagina plakken.

Wanneer we extern materiaal insluiten, is het goed om na te denken over toegankelijkheid en security, maar ook over de AVG en de telecommunicatiewet. De inzichten over digitale privacy zijn sinds de AVG is ingegaan volop in beweging. Hoewel de wetgeving duidelijk is, komen er steeds weer juridische uitspraken die een lichtje schijnen op een onderwerp waar niemand eigenlijk nog over had nagedacht. 

Content van een externe bron

Een van die onderwerpen is wat er nu eigenlijk technisch gebeurt wanneer je een externe bron insluit op je website. Hieronder leggen we dat uit in verschillende stappen:

  1. De bezoeker bezoekt jouw website, maar zodra de pagina met de externe content wordt geladen, maakt de browser van de bezoeker contact met de externe bron om de content op te vragen.
  2. De externe bron stuurt de content vervolgens terug naar de browser van de bezoeker. Hiervoor maakt de externe bron gebruik van het IP-adres van de bezoeker van je website. 

Google Fonts

Als voorbeeld bespreken we hier het gebruik van Google Fonts die je online kunt insluiten. In 2022 heeft de Autoriteit persoonsgegevens in Duitsland een uitspraak gedaan in een zaak waarbij een website gebruik maakt van Google fonts (Deze link gaat naar een externe website)

In de uitspraak wordt het op deze manier gebruik maken van Google Fonts gezien als het delen van het IP-adres van de bezoeker met Google (zie stap 2 hierboven), en voor het delen van persoonsgegevens heb je een wettelijke grondslag nodig. 

Alternatieven

Er zijn alternatieven voor het gebruik van Google Fonts op deze wijze. Bijvoorbeeld door de fonts van Google te downloaden en zelf aan te bieden. Dan hoeft de bezoeker de fonts niet meer bij Google op te halen en wordt er geen IP-adres van de bezoeker met Google gedeeld.

Om persoonsgegevens te delen met derden heb je een wettelijke grondslag nodig. Meer informatie over de wettelijke grondslagen (Deze link gaat naar een externe website) vind je op de website van de autoriteit persoonsgegevens.

Omdat er alternatieven zijn, is deze uitwisseling van persoonsgegevens niet noodzakelijk voor het gebruik van de website.

Daarnaast is Google een partij die historisch gezien niet goed omgaat met privacy van gebruikers, en geeft de rechter in de uitspraak aan dat het belang van de bezoeker zwaar genoeg weegt om gen gebruik te kunnen maken van de wettelijke grondslag 'Gerechtvaardigd belang'. Een gemeente kan van deze grondslag sowieso geen gebruik maken omdat het een overheidsinstelling is.

Hoewel deze uitspraak is gedaan door de Autoriteit Persoonsgegevens in een ander land, is deze binnen de Europese Unie wel relevant. Er lijkt op dit moment dus in ieder geval geen wettelijke grondslag te zijn om het IP-adres op deze manier te delen met Google. 

Wat betekent deze uitspraak voor jou?

In de websites van een aantal van onze gemeenten wordt gebruik gemaakt van Google Fonts of een andere bron van Fonts (lettertypen) waarbij de externe bron wordt ingesloten.

Wanneer dit voor jouw website geldt, is het slim om even te overleggen met je Functionaris Gegevensbescherming (FG), of je op basis van deze uitspraak actie wilt (laten) ondernemen.

We kunnen op jouw verzoek uiteraard de fonts downloaden en zelf aanbieden in plaats van deze in te sluiten op de website. Als je hierin interesse hebt, neem dan contact met ons op. We kunnen dan voor je website(s) kijken wat deze wijziging zou kosten. 

Andere externe content

Nu gaat deze uitspraak specifiek over het insluiten van Fonts, maar dezelfde situatie zien we ook bij andere externe content. Daarom is het slim om ook andere extern ingeladen content op de website met de FG van jouw organisatie te bespreken, en te kijken of er aanpassingen nodig zijn. 

Wanneer wij nieuwe verzoeken krijgen om externe content op de website in te sluiten, sturen wij eerst een waarschuwing dat je een aantal zaken moet controleren (ook voor de CSP-header). Dan kun je vervolgens met de FG bespreken hoe je hiermee om wilt gaan.

Meer kennis en inspiratie opdoen? Lees ook onze andere artikelen.

Bekijk onze blogs en artikelen