De meeste website-eigenaren denken misschien dat de overheid geen interesse heeft in hun kleine hoekje van het internet. “Waarom zouden ze mijn website scannen?” is een veelgehoorde opmerking. Echter, met de toenemende bezorgdheid over online privacy en gegevensbescherming, worden er stappen ondernomen om ervoor te zorgen dat websites voldoen aan de relevante wetgeving. Een opmerkelijk initiatief in deze context is de “Website Evidence Collector” ontwikkeld door de European Data Protection Supervisor (EDPS). In deze blogpost gaan we dieper in op dit instrument en waarom de overheid wel degelijk geïnteresseerd kan zijn in wat er op jouw website gebeurt.
De European Data Protection Supervisor (EDPS)
De European Data Protection Supervisor (EDPS) is een orgaan van de Europese Unie dat toezicht houdt op de verwerking van persoonlijke gegevens door EU-instellingen en -organen. Ze spelen een cruciale rol in het waarborgen van gegevensbescherming en privacy binnen de EU. Zij hebben de Website Evidence Collector tool ontwikkeld.
Website Evidence Collector: Wat is het?
De Website Evidence Collector is een open-source softwaretool ontwikkeld door de EDPS om automatische inspecties van websites uit te voeren met betrekking tot privacy en gegevensbescherming. Deze tool is bedoeld om bewijsmateriaal te verzamelen over de verwerking van persoonlijke gegevens op websites. Maar hoe werkt dit precies?
Het verzamelen van bewijsmateriaal
De Website Evidence Collector is ontworpen om verschillende aspecten van een website te analyseren. Hier zijn enkele van de belangrijkste zaken die deze tool verzamelt:
- Webpagina-screenshots: Het maakt schermafbeeldingen van webpagina’s.
- Lijst met HTTP-links: Het categoriseert deze links als intern (binnen dezelfde website), extern, of links naar sociale netwerken en samenwerkingsservices.
- Lijst van bezochte webpagina’s: Het houdt bij welke pagina’s zijn bezocht.
- Informatie opgeslagen in HTML5 lokale opslag: Dit omvat de verantwoordelijke webpagina en de component die de verwerking veroorzaakt.
- Alle cookies in de browser: Het identificeert welke webpagina en component verantwoordelijk zijn voor het verwerken van deze cookies.
- HTTP-verkeer tussen de browser en het internet: Dit wordt opgeslagen in een HAR-bestand, inclusief verzoeken die gedragstracking kunnen veroorzaken en de verantwoordelijke webpagina’s.
- Berichten uitgewisseld via Web Sockets: Dit is een alternatieve methode voor het verzenden van gegevens via het internet.
Met deze gegevens wordt een gestructureerd formaat (YAML en HTML) gecreëerd, dat zowel begrijpelijk is voor mensen als voor machines. Dit stelt websitebeheerders, functionarissen voor gegevensbescherming en eindgebruikers in staat om beter te begrijpen welke informatie wordt overgedragen en opgeslagen tijdens een bezoek aan een website, zelfs zonder expliciete toestemming of inloggen.
Compatibiliteit en Installatie
De Website Evidence Collector is ontworpen om te werken op verschillende platforms, waaronder Windows, MacOS, Linux en andere platforms die NodeJS en Chromium ondersteunen. De tool is echter voornamelijk getest op Linux en MacOS. Om de tool te gebruiken, moet je Node.js en de Node.js-pakketbeheerder (NPM) installeren. Er zijn twee installatieopties beschikbaar:
- a) Handmatige installatie: Je kunt het pakketbestand downloaden, het archief uitpakken en de instructies in het README.md-bestand volgen.
- b) Installatie via de command line: Je kunt de tool ook direct vanaf de opgedragen GitHub-pagina installeren. Er is zelfs een videozelfstudie beschikbaar voor demonstratie.
Het is belangrijk om de EUPL-licentievoorwaarden zorgvuldig te lezen. De EDPS biedt de tool “as is” aan, zonder garanties van welke aard dan ook, inclusief geschiktheid voor een bepaald doel, afwezigheid van gebreken of fouten, of nauwkeurigheid.
Waarom is deze tool belangrijk?
Met de nieuwe EU-wetgeving inzake gegevensbescherming, zoals de Algemene Verordening Gegevensbescherming (AVG), hebben veel websites hun mechanismen voor privacy toestemming geüpdatet en hun gegevensverwerkingsprocessen herzien. Dit heeft geleid tot een groter bewustzijn van privacy kwesties op websites en heeft geresulteerd in een toename van klachten bij toezichthoudende autoriteiten.
De EDPS-tool stelt leken in staat om bewijsmateriaal te verzamelen over gegevensverwerkingsactiviteiten van websites met behulp van een reproduceerbare, betrouwbare en snelle methode. Er is geen gebruik van externe cloud services om bewijsmateriaal te verzamelen, waardoor het zelfstandig kan worden gebruikt, zelfs in intranetten zonder internettoegang. De open-source licentie maakt het ook mogelijk voor experts om de tool aan te passen aan hun specifieke behoeften.
Een ander Europees land zou zomaar een bekeuring kunnen uitdelen
Dit initiatief heeft een Europese reikwijdte, wat inhoudt dat website-eigenaren in andere EU-landen alert moeten zijn op mogelijke aandacht van de toezichthoudende autoriteiten in die landen. Zelfs als jouw website in meerdere talen is opgesteld en bezoekers vanuit andere EU-landen meldingen maken van niet-naleving, kunnen deze landen jou aansprakelijk stellen voor boetes en juridische gevolgen als jouw privacy- en gegevensbeschermingsnormen niet aan de vereisten voldoen. Het is van cruciaal belang om ervoor te zorgen dat jouw website voldoet aan de geldende regelgeving, ongeacht de grootte ervan, om sancties te voorkomen, zelfs wanneer je opereert vanuit een ander EU-land.
Conclusie
Dus, terwijl het misschien onwaarschijnlijk lijkt dat de overheid jouw website persoonlijk zal scannen, is het belangrijk om te begrijpen dat er instrumenten beschikbaar zijn waarmee ze kunnen controleren of websites voldoen aan de privacy- en gegevensbeschermingsnormen. Als website-eigenaar is het verstandig om op de hoogte te blijven van dergelijke ontwikkelingen en ervoor te zorgen dat jouw website in overeenstemming is met de geldende wetgeving. De bescherming van de privacy van jouw bezoekers moet altijd een prioriteit zijn, ongeacht de omvang van jouw online aanwezigheid.
Meer info: https://edps.europa.eu/edps-inspection-software_en