Server-side tracking als maatregel bij doorgifte: juridische haken en ogen

Vooral na de beruchte uitspraak in de Schrems II-zaak is doorgifte van persoonsgegevens naar landen buiten de EER een hot topic geworden. Het Privacy Shield is ongeldig verklaard, en ook enkel varen op de SCC’s (‘Standard Contractual Clauses’) zonder extra waarborgen is niet meer mogelijk. In het kader van een risicoanalyse bij doorgifte (‘Data Transfer Impact Assessment’ of ‘DTIA’) is het daarom belangrijker dan ooit om goed na te denken over passende technische en organisatorische maatregelen die u als organisatie kunt treffen om de persoonsgegevens die uw organisatie verwerkt, zo optimaal mogelijk te beschermen. Maar in hoeverre kan server-side tracking als een dergelijke passende (aanvullende) maatregel voor doorgifte worden bestempeld, en welke juridische haken en ogen kleven aan het gebruik daarvan?

Wat is server-side tracking?

Veel organisaties houden het gedrag van websitebezoekers bij. Bijvoorbeeld om de website te verbeteren of om gericht te kunnen adverteren. Dit wordt tracking genoemd. Als het gaat om online tracking wordt er vaak een onderscheid gemaakt tussen first-party tracking en third-party tracking. Bij first-party tracking gaat het om data die verzameld worden door de website-exploitant, zoals door eigen cookies te plaatsen. Third-party tracking houdt in dat de tracking door een andere partij wordt gedaan. Denk bijvoorbeeld aan Google Analytics of de Facebook Pixel. Er wordt bij third-party tracking een stukje content aangeleverd vanuit die derde partij. Door het aanleveren van die content, in de vorm van een stukje script verwerkt in de webpagina, kan deze derde partij bijvoorbeeld een cookie plaatsen. De informatie die verzameld wordt, bijvoorbeeld uit een geplaatste cookie, gaat dan direct naar deze derde partij toe. De website-exploitant kan dan via het dashboard de door deze derden opgestelde rapporten (statistieken) bekijken over het gebruik van de website. Dit wordt ook wel ‘client-side tracking’ genoemd. De data worden verzameld en vanuit de browser van de websitebezoeker (de ‘client-side’) naar de eindbestemming gestuurd.

Bij server-side tracking, soms ook server-side tagging genoemd, verloopt de datastroom anders. Er is namelijk een extra tussenstation ingebouwd. Er worden enkel first-party cookies geplaatst, waarna alle data eerst naar de eigen server van de website-exploitant gaat. Omdat de data eerst naar de server van de website-exploitant gaat, en niet direct naar de derde partij, kan die exploitant daarbinnen diens eigen verwerkingsregels instellen, zodat die zelf invloed heeft op de gegevens voordat ze naar de eindbestemming (de derde partijen) gaan. Derde partijen hebben dus géén directe toegang tot de website en de gebruikers daarvan, omdat de server als buffer fungeert (de ‘server-side’).

Wat kan server-side tracking concreet betekenen voor privacy?

Het gebruik van server-side tracking in plaats van client-side tracking, leidt ertoe dat de controle over gebruikersdata wordt verplaatst van derde partijen naar de website-exploitant (de first party). Het zijn niet meer de derde partijen die direct toegang hebben tot de data, maar het is de website-exploitant die eerst alle data op diens eigen server krijgt. De website-exploitant kan vervolgens de data bewerken, zoals: 

  • Gegevens wegfilteren: de weg gefilterde gegevens worden niet doorgezonden.
  • Data transformeren: data kan bijvoorbeeld worden gepseudonimiseerd of geanonimiseerd.
  • Data toevoegen: omdat de gebruikersinformatie eerst naar een eigen server wordt geleid, kan ook andere informatie die op die server binnenkomt uit andere bronnen aan de data worden toegevoegd, bijvoorbeeld door gedrag op de website te koppelen aan gebruik van een app of het openen van een e-mail. Ook eerder verzamelde informatie die is ondergebracht in een data lake kan aan de verkregen informatie worden toegevoegd.

Wie is verantwoordelijk voor de toestemming en cookiebanner?

Voor het plaatsen van cookies is, afhankelijk van het type, toestemming nodig van de websitebezoeker, zoals volgt uit de Telecommunicatiewet in samenhang met de Algemene Verordening Gegevensbescherming (AVG). De verantwoordelijkheid voor het naleven van de verplichtingen met betrekking tot het verkrijgen van toestemming overeenkomstig die wetten, ligt bij degene die verantwoordelijk is voor het opslaan en afhalen van gegevens in en van de randapparatuur van de websitebezoer. De website-exploitant zal indien nodig websitebezoekers om toestemming moeten vragen, zelfs al worden de gegevens door een derde partij verzameld. Uiteindelijk kiest de website-exploitant er namelijk voor om bepaalde trackingtool toe te voegen aan de website. Dit zie je ook terug in veel algemene voorwaarden van aanbieders van webtools, waarin vaak de verplichting is opgenomen om toestemming op een juiste manier te faciliteren. Als je het niet eens bent met hoe een bepaalde tool gegevens verwerkt, dan moet je de tool niet toevoegen aan je website. Het is dus belangrijk om hier ook op te letten bij server-side tracking. Er worden daar immers enkel first-party cookies gebruikt, maar de data wordt wel doorgegeven aan derde partijen voor bijvoorbeeld marketing-doelen. Vaak wordt gedacht dat er geen toestemming nodig is voor first-party cookies, maar dat is niet juist. Tenzij er sprake is van een uitzondering, zal er toch toestemming van de websitebezoeker nodig zijn. 

Juridische haken en ogen

Gebruik van server-side tracking heeft verschillende voor- en nadelen op het gebied van privacy:

Privacy voordelen:

  • Doordat informatie niet direct bij derde partijen komt, maar eerst op de eigen server van de website-exploitant komt, bestaat de mogelijkheid om gegevens weg te filteren en daarnaast gegevens te anonimiseren of te versleutelen. De website-exploitant kan dus controle uitoefenen op welke gegevens naar externe partijen gaan en in welke vorm. Dat betekent dat de potentie bestaat om de privacy van websitebezoekers beter te waarborgen. 
  • Omdat de verwerkingsregels en data allemaal opgeslagen worden in de server van de website-exploitant, is er een gecentraliseerd punt voor compliance. Dat zou het makkelijker moeten maken om een legal audit uit te voeren. Daarnaast kan de opslag en verwerking via de server de dataveiligheid bevorderen, omdat de website-exploitant controle heeft over de soort en vorm van gegevens. 

Risico’s:

  • Allereerst is van belang dat server-side tracking op zichzelf genomen de bescherming van de privacy van websitebezoekers niet per se bevordert. Het ligt geheel aan de inrichting van de verwerkingsregels in de server of de bescherming van de privacy bevorderd wordt. Als bijvoorbeeld alle gegevens worden doorgezonden, of als gekozen wordt voor pseudonimisering, is de privacy nog steeds niet (volledig) gewaarborgd. De AVG is in die gevallen gewoon van toepassing, zodat ook het probleem van doorgifte blijft bestaan als gegevens naar derde partijen buiten de EER worden gezonden. 
  • Server-side tracking is op zichzelf geen oplossing voor doorgifte van data naar derde landen. Het zal in combinatie met andere maatregelen toegepast moeten worden, zoals het afsluiten van de SCC’s en het anonimiseren van de data. Server-side tracking kan dan dus, afhankelijk van de inrichting ervan, hooguit dienen als aanvullende technische maatregel. De website-exploitant die een server-side tracking oplossing afneemt zal zich dus niet veilig moeten wanen na overschakeling daarop. 
  • Omdat de website-exploitant de gegevens in de server kan verrijken met gegevens uit andere bronnen, kan juist ook een vollediger profiel van de betreffende websitebezoeker geschetst worden. Dat is juist niet bevorderlijk voor de bescherming van de privacy van websitebezoekers. 
  • Dit volledigere profiel kan ook verkregen worden doordat adblockers en intelligent tracking prevention (ITP) beter omzeild kunnen worden. Die zouden prima URL’s als ‘google-analytics.com’ kunnen herkennen, maar minder goed de eigen trackingdomeinen (dus de server van de website-exploitant). Aangezien bij server-side tracking alleen gewerkt wordt met first-party cookies, zal dus de kans dat die geblokkeerd worden nihil zijn. 

Conclusie

Of server-side tracking als privacy vriendelijk kan worden gezien, hangt af van de manier waarop dit is ingesteld. Als alle persoonsgegevens worden geanonimiseerd of weggefilterd in de server, kan het zijn dat er geen sprake meer is van doorgifte van persoonsgegevens. De vraag is dan wel hoe bruikbaar deze data nog is. Als er nog wel (gepseudonimiseerde) persoonsgegevens worden doorgestuurd, blijft het probleem van doorgifte bestaan. Server-side tracking kan dan wel als aanvullende technische maatregel dienen, mits dit privacy vriendelijk is ingesteld. Als data in de server wordt gecombineerd om een vollediger profiel op te bouwen van gebruikers, is server-side tracking juist minder privacy vriendelijk.

Terug naar overzicht