Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection

Deze studie analyseert hoe Google en Meta websitebeheerders aanzetten tot het configureren van trackers voor het verzamelen van persoonsgegevens via formulieren, en onthult dat Meta's trackers hierdoor vaker worden gebruikt dan die van Google, ondanks schendingen van privacybeleid op gevoelige websites.

De kern

Titel: De Digitale Kassa die te veel leest: Waarom je privacy op websites in gevaar is

Stel je voor dat je een winkel binnenloopt. De eigenaar van de winkel (de website) wil graag weten wie je bent en wat je koopt, zodat hij je later met een gepersonaliseerde advertentie kan benaderen. Hiervoor gebruikt hij een hulpmiddel van grote bedrijven zoals Google en Meta (Facebook). Dit hulpmittel noemen we een "tracker".

In het verleden dachten we dat deze trackers alleen keken naar welke pagina's je bezocht. Maar deze studie laat zien dat er een groot verschil is in hoe deze trackers worden ingesteld. Het is alsof sommige kassa's alleen het totaalbedrag noteren, terwijl andere kassa's ook je naam, telefoonnummer en adres van je creditcard lezen, zelfs als je dat niet wilt.

Hier is wat de onderzoekers van de NYU en Northeastern University hebben ontdekt, vertaald naar begrijpelijke taal:

1. De "Snelweg" vs. de "Labyrint"

De onderzoekers keken naar de handleidingen en instellingen van de twee grootste trackers: Meta Pixel en Google Tag.

• Meta Pixel (De Snelweg): Meta maakt het heel makkelijk om je gegevens te delen. Het is alsof je bij het instellen van de kassa een knop krijgt met de tekst: "Wil je dat we alles automatisch opslaan voor betere resultaten?" en deze knop staat al op AAN. Als je niet heel bewust op "UIT" klikt, slaat de kassa automatisch je naam, e-mailadres en telefoonnummer op. De handleiding zegt zelfs: "Doe dit voor de beste resultaten!" zonder te waarschuwen dat dit je privacy in gevaar brengt.
• Google Tag (Het Labyrint): Google is wat ingewikkelder. Je moet door een doolhof van menu's om dezelfde functie aan te zetten. Het staat standaard op UIT. Je moet echt actief zoeken naar de optie om je gegevens te delen. Toch gebeurt het ook hier, maar minder vaak dan bij Meta.

De les: Meta's systeem is ontworpen om je (onbewust) te verleiden tot het delen van zoveel mogelijk data. Google is minder agressief, maar nog steeds niet veilig als je niet oplet.

2. De "Magische Verdwijntruc" (Hashing)

Zowel Google als Meta zeggen tegen website-eigenaren: "Maak je geen zorgen! We versleutelen je gegevens (hashen ze) voordat we ze opslaan, dus dat is veilig."

Stel je voor dat je een briefje met je adres in een machine stopt die het in een onleesbare reeks symbolen verandert. Google en Meta zeggen: "Kijk, het is nu onleesbaar, dus het is veilig!"
Maar de onderzoekers wijzen erop dat dit een leugen is. Het is alsof je een briefje met "Jouw Naam" in een machine stopt die het verandert in "A1B2C3". Als Google of Meta al een lijst heeft met jouw naam en het nummer "A1B2C3", kunnen ze het briefje toch weer koppelen aan jou. Het is geen echte bescherming, maar een illusie van veiligheid. De Amerikaanse toezichthouder (FTC) heeft dit al eerder gezegd, maar de bedrijven blijven het toch als veilig verkopen.

3. De Gevoelige Gebieden (Ziekenhuizen en Banken)

Er zijn speciale regels voor websites die te maken hebben met gezondheid (zoals ziekenhuizen) of geld (zoals banken). In de VS is het verboden om daar gevoelige gegevens naar derden te sturen.

• Het probleem: Google en Meta hebben een systeem waarbij je zelf moet aangeven: "Ik ben een gezondheidswebsite." Als je dat doet, blokkeren ze de functie om gegevens te sturen.
• De realiteit: Veel websites doen net alsof ze geen gezondheids- of financieel bedrijf zijn, of ze vergeten de juiste instelling te kiezen.
• Het resultaat: De onderzoekers vonden dat veel echte ziekenhuizen, verslavingsklinieken en banken toch trackers hebben staan die hun patiënten- of klantgegevens (zoals namen en diagnoses) sturen naar Meta en Google. Het is alsof een ziekenhuis een camera installeert die de gezichten van patiënten naar Facebook stuurt, omdat ze dachten dat de camera "gewoon" was.

4. Hoe vaak gebeurt dit?

De onderzoekers keken naar meer dan 40.000 websites:

• Google Tag zit op 72% van de websites, maar slechts 11% daarvan is ingesteld om gevoelige formuliergegevens te stelen.
• Meta Pixel zit op 28% van de websites, maar een enorme 62% daarvan is ingesteld om formuliergegevens te stelen!

Bij Meta is het dus veel waarschijnlijker dat je gegevens worden gestolen, simpelweg omdat de "standaard" instelling al op "alle gegevens verzamelen" staat.

5. Wat betekent dit voor jou?

Als je een formulier invult op een website (bijvoorbeeld om je aan te melden voor een nieuwsbrief of een afspraak te maken), is er een grote kans dat je naam, e-mail en telefoonnummer direct naar Google of Meta worden gestuurd, zelfs als je dat niet wilt.

• Voor website-eigenaren: Ze worden vaak misleid door de handleidingen van Google en Meta. Ze denken dat ze iets verstandigs doen voor hun marketing, maar ze schenden per ongeluk de privacy van hun bezoekers en soms zelfs de wet.
• Voor jou: Wees voorzichtig met wat je invult. Zelfs als een website er betrouwbaar uitziet, kan de "kassa" in de achtergrond je gegevens al hebben doorgegeven aan de grote tech-reuzen.

Conclusie:
Deze studie laat zien dat de manier waarop bedrijven hun trackers uitleggen en instellen, een grote rol speelt in hoe onze privacy wordt geschonden. Meta en Google maken het te makkelijk om je gegevens te delen en te moeilijk om te zien wat er precies gebeurt. Het is tijd dat ze eerlijker zijn en dat er strengere regels komen, zodat je niet per ongeluk je geheime gegevens deelt met een reclamebureau.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het onderzoekspaper "Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection" in het Nederlands.

Probleemstelling

Gestuurde reclade wordt aangedreven door het uitgebreide volgen van online activiteiten van gebruikers. Reclamebedrijven zoals Google en Meta moedigen websitebeheerders niet alleen aan om tracking-scripts te installeren, maar ook om deze te configureren zodat ze automatisch Persoonlijk Identificeerbare Informatie (PII) verzamelen uit webformulieren (zoals e-mailadressen, namen en telefoonnummers).

Het bestaande onderzoek behandelde tracker-installaties vaak als een binair probleem (geïnstalleerd of niet), maar negeerde de nuance van de configuratie. Het is onduidelijk hoe vaak formuliergegevens-extractie in de praktijk is ingeschakeld en hoe de documentatie en gebruikersinterfaces van trackers de keuzes van beheerders beïnvloeden. Dit is vooral kritiek in gevoelige sectoren zoals gezondheidszorg en financiën, waar wetgeving (zoals HIPAA en GLBA in de VS) de verwerking van dergelijke data beperkt. Ondanks dat Google en Meta beleid hebben tegen het verzamelen van PII op deze sites, zijn er meldingen van datalekken bij bedrijven zoals BetterHelp en GoodRx.

Methodologie

De auteurs hanteerden een mixed-methods aanpak bestaande uit een kwalitatieve analyse en een kwantitatieve meetstudie:

1. Kwalitatieve Analyse (Documentatie & UI):

   • De auteurs speelden de rol van websitebeheerders en installeerden Meta Pixel en Google Tag op een testwebsite.
   • Ze reverse-engineerden de configuratieprocessen en analyseerden 17 pagina's Meta-documentatie en 60 pagina's Google-documentatie.
   • Ze gebruikten een codeboek gebaseerd op "dark patterns" (zoals hidden risks, least private defaults, en loss aversion) om te evalueren hoe de interfaces en tekst beheerders leiden naar het inschakelen van dataverzameling.

2. Kwantitatieve Meetstudie (Large-scale Measurement):

   • Dataset: 40.150 websites, inclusief 3.406 gezondheidswebsites en 1.633 financiële websites (afkomstig van Tranco en SimilarWeb).
   • Datacollectie: Geautomatiseerde bezoeken via 50 virtuele machines in de VS (Google Cloud).
   • Techniek:
     • Form Injection: Een script injecteerde een HTML-formulier met placeholder-PII (e-mail, telefoon, naam, etc.) op de pagina en klikte op verzenden.
     • Netwerkmonitoring: Alle netwerkverkeer werd geanalyseerd om te zien of de trackers de ingevoerde data (gehasht volgens hun standaarden) naar Google of Meta verkeerden.
     • Statische Analyse: Voor Meta Pixel werd de gegenereerde JavaScript-code geanalyseerd om te bepalen welke velden standaard waren geselecteerd in de configuratie.
   • Validatie: Handmatige verificatie van steekproeven om false negatives (gemiste trackers) en de impact van cookie-consentbanners te beoordelen.

Belangrijkste Bijdragen

1. Methodologie: Ontwikkeling van een pipeline voor kwalitatieve analyse van tracker-documentatie en een schaalbaar systeem voor het meten van tracker-configuraties op webformulieren.
2. Ontmaskering van Praktijken: Blootlegging van hoe Google en Meta beheerders aanmoedigen om PII te verzamelen via documentatie die privacyrisico's minimaliseert en onjuiste beweringen doet over hashing als privacy-maatregel (wat door de FTC is weerlegd).
3. Configuratieverschil: Het aantonen dat Meta Pixel veel vaker is geconfigureerd om formuliergegevens te verzamelen dan Google Tag, voornamelijk door het ontwerp van de setup-workflow.
4. Detectie van Schendingen: Identificatie van specifieke gezondheids- en financiële websites die trackers hebben geïnstalleerd die waarschijnlijk PII verzamelen, in strijd met het beleid van de leveranciers en lokale wetgeving.

Resultaten

1. Documentatie en Interfaces (Dark Patterns):

• Meta: Gebruikt een gestroomlijnde setup-wizard die beheerders actief vraagt om automatische dataverzameling in te schakelen. Standaard worden alle 11 ondersteunde PII-velden geselecteerd (een "least private default"). De interface suggereert dat dataverzameling essentieel is voor "maximale prestaties" en verbergt privacyrisico's.
• Google: Heeft een complexere workflow zonder expliciete prompt om formuliergegevens in te schakelen tijdens de basisinstallatie (standaard uitgeschakeld). Echter, de documentatie bevat tegenstrijdige taal: enerzijds wordt gesteld dat PII niet naar Google mag worden gestuurd, anderzijds wordt "hashing" gepresenteerd als een veilige methode, wat technisch onjuist is omdat Meta/Google de data kunnen koppelen aan bestaande profielen.

2. Meetresultaten (Prevalentie):

• Installatie: Google Tag is veel wijdverspreider (72,6% van de websites) dan Meta Pixel (28,2%).
• Configuratie voor PII: Ondanks de lagere installatiegraad, is Meta Pixel veel vaker geconfigureerd om formuliergegevens te verzamelen (62,3%) dan Google Tag (11,6%).
  • Bij Meta: 99,5% verzamelt e-mail, 93,7% volledige namen, en 93,5% telefoonnummers.
  • Bij Google: Alleen e-mailadressen worden vaak automatisch verzameld; andere velden vereisen handmatige code-aanpassingen.
• Correlatie: Websites met zowel Meta als Google hebben een sterkere kans dat Google Tag ook formuliergegevens verzamelt (21,7% vs 5,4% zonder Meta), wat suggereert dat de configuratie van de ene tracker de andere beïnvloedt.

3. Gevoelige Sectoren (Gezondheid & Financiën):

• Hoewel Meta en Google technische beperkingen hebben voor websites die zichzelf als "gezondheid" of "financiën" classificeren, blijken deze beperkingen onvoldoende.
• Meta: 30,8% van de gezondheidswebsites en 20,3% van de financiële websites met Meta Pixel verzamelt toch formuliergegevens (vergeleken met 68% bij niet-gevoelige sites). Dit suggereert dat deze sites hun verticale classificatie verkeerd instellen of omzeilen.
• Google: Geen significant verschil in verzameling tussen gevoelige en niet-gevoelige sectoren (rond de 11-13%), wat aangeeft dat de beperkingen hier minder effectief zijn of dat de configuratie anders verloopt.
• Voorbeelden: De auteurs identificeerden concrete schendingen bij organisaties zoals Avenues Recovery (revalidatie), NAMI (mentale gezondheid), Equifax (credit reporting) en Capital One.

Betekenis en Conclusie

De studie concludeert dat de configuratiekeuzes van websitebeheerders, gestuurd door de interfaces en documentatie van trackers, een cruciale rol spelen in de privacy van gebruikers.

• Design als Privacy-bevorderend of -schendend: Meta's interface is expliciet ontworpen om dataverzameling te maximaliseren ("bad defaults"), terwijl Google's complexiteit leidt tot onzekerheid en inconsistentie.
• Beleid vs. Realiteit: De zelfrapportage van websites over hun sector is een zwakke controlemechanisme. Zelfs met beleidsregels verzamelen gevoelige websites vaak PII.
• Aanbevelingen:
  • Regulering: De FTC en andere toezichthouders moeten ingrijpen tegen misleidende documentatie over hashing en "bad defaults".
  • Technische Defensie: Er is behoefte aan browser-extensies die gebruikers waarschuwen wanneer een tracker is geconfigureerd om formuliergegevens te sturen.
  • Onderzoek: Meer focus op de interactie tussen documentatie en daadwerkelijke implementatie is nodig om privacy te verbeteren.

Kortom, trackers zijn niet gelijk; de manier waarop ze worden geconfigureerd (en hoe ze worden aangeleerd) bepaalt of ze een privacy-risico vormen, zelfs op websites waar dat strikt verboden zou moeten zijn.