Google mag niet meer meekijken bij sollicitaties geheime dienst

In dit artikel:

De vacaturesite van de Rijksoverheid heeft trackers van Google verwijderd voor functies bij de geheime diensten AIVD en MIVD, nadat Follow the Money eind oktober onthulde dat Google via Werken voor Nederland profielgegevens, IP-adressen, apparaat- en browserinformatie en klikgedrag kon verzamelen van bezoekers. Die aanpassing geldt alleen voor vacatures van de inlichtingendiensten; voor reguliere overheidsbanen stuurt de site nog steeds signalen naar Google-servers.

Het nieuws leidde tot politieke vragen van CDA-Kamerlid Derk Boswijk. Eerder dit jaar had voormalig staatssecretaris Judith Uitermark al geschreven dat de site geen gegevens met Google deelde; na de publicatie van FTM diende Boswijk op 4 november opnieuw Kamervragen in bij demissionair minister Frank Rijkaart. Het ministerie van Binnenlandse Zaken heeft tot op heden niet inhoudelijk gereageerd op vragen van Follow the Money.

Naast Google-trackers waren er ook andere lekken. In oktober schorten AIVD en MIVD uit voorzorg een automatische cv-uitleesfunctie op; die verwerking liep via Textkernel, een bedrijf dat sinds vorig jaar Amerikaanse eigenaar heeft en volgens eigen informatie servers van Google en Amazon gebruikte. Sollicitanten voeren daarnaast persoonsgegevens in op software van Tangram (Houten), waarvan medewerkers toegang tot die data hebben. De vacaturesite draait op het Amerikaanse contentmanagementsysteem Bloomreach, dat opslagcapaciteit bij Amazon Web Services afneemt. Ook beveiligingsdienst Cloudflare (VS) en het delen van AIVD-vacatures op LinkedIn maken het voor Amerikaanse bedrijven mogelijk om inzicht te krijgen in wie welke pagina’s bezoekt.

Een cruciaal juridisch risico is de Amerikaanse Cloud Act (2018): die geeft Amerikaanse autoriteiten de bevoegdheid om bij Amerikaanse bedrijven opgeslagen data op te eisen, ook wanneer die in Europa staan. Bovendien waren de Google-trackers veertien jaar actief, waardoor er mogelijk historische data beschikbaar is over wie zich heeft aangemeld voor geheime dienstfuncties. Het ministerie stelt strikte privacy-instellingen te hanteren — zoals anonimisering en het niet opslaan van IP-adressen — maar erkent dat dit vertrouwen in verklaringen van de betrokken techbedrijven berust en moeilijk te verifiëren is.

Voormalig AIVD-medewerker en beveiligingstoezichthouder Bert Hubert noemt het uitschakelen van Google-trackers voor de inlichtingendiensten een stap vooruit, maar waarschuwt dat nog te veel buitenlandse partijen meekijken, ook bij andere overheidsvacatures. De AIVD en MIVD geven aan voorlopig geen nadere mededelingen te doen over het repareren van de resterende lekken, in afwachting van ministeriële beantwoording van de Kamervragen.

Kortom: directe Google-tracking voor sollicitaties bij AIVD/MIVD is gestopt, maar door gebruik van Amerikaanse leveranciers en tussenpartijen blijven gegevens van potentiële kandidaten kwetsbaar en mogelijk benaderbaar voor Amerikaanse autoriteiten.