Hoe gewoon is sessionrecording? Je toetsaanslagen worden bijgehouden

Hoe kun je als website het best in kaart brengen hoe bezoekers gebruikmaken van de verschillende pagina’s? De welbekende en niet altijd gewaardeerde pop-upvensters met enquêtes waarin bezoekers wordt gevraagd wat ze van de bezochte website vinden, zijn één manier. De gegevens die dat oplevert, zijn echter niet heel precies en de respons op de vraag om in vijf minuten een website te beoordelen, zal doorgaans ook niet hoog zijn. De verleiding om snel op het kruisje te klikken is vaak moeilijk te weerstaan.

Een geheel andere methode om meer te weten te komen over wat bezoekers op een website doen en waar ze specifiek hun aandacht op richten, is simpelweg het opnemen van hun bezoeksessie. Aan de hand van een cookie en een script kan worden vastgelegd waar een bezoekers op klikt. Op deze manier kan de desbetreffende website heel direct gegevens verkrijgen over de manier waarop bezoekers gebruikmaken van de website.

Een efficiënte methode is sessionrecording, ofwel sessionreplay – beide begrippen worden door elkaar gebruikt – maar daar kunnen vraagtekens bij geplaatst worden vanuit het oogpunt van privacy. Tot op zekere hoogte heeft sessionrecording/-replay wat weg van een keylogger, aangezien de specifieke toetsaanslagen en muisbewegingen van een bezoeker kunnen worden opgeslagen. Hoe verhoudt dit zich tot de relevante privacyregels? Waarom passen websites deze methode toe en wordt het vaak toegepast door Nederlandse en Belgische websites?

Wat kan met sessionreplaydiensten in kaart worden gebracht?

Simpel gezegd stellen sessionreplaydiensten organisaties en bedrijven in staat om mee te kijken met wat bezoekers doen op hun site. Ze gebruiken analyticsscripts van derde partijen die muisbewegingen, scrollgedrag, toetsaanslagen en de hele inhoud van de bezochte pagina’s doorsturen naar de servers van de sessionreplaydienst. Het gaat dus niet over analyticsdiensten, zoals Google Analytics, waarmee het gaat om het opvragen van statistieken; met sessionreplay kunnen individuele browsesessies worden opgenomen en later worden afgespeeld. Een beetje alsof iemand over je schouder zit mee te kijken en lezen.

Uiteindelijk kan deze data gebruikt worden voor het maken van heatmaps, waarbij de organisatie van een website precies kan zien waar gebruikers het vaakst met hun muiscursor heen bewegen en wat dus hun aandacht heeft. Zo is goed te zien welke delen van de website veel of juist weinig gebruikt worden, zodat onderdelen van de site op basis daarvan kunnen worden aangepast. Het idee is dat hiermee de website kan worden verbeterd en de gebruiksvriendelijkheid kan worden vergroot.

Welke websites hebben daadwerkelijk sessionreplaydiensten gebruikt?

In november vorig jaar heeft de Amerikaanse Princeton-universiteit de websites uit de top 50.000 van Alexa onderzocht op het gebruik van sessionreplay. Enkele grote websites zoals Microsoft.com en Adobe.com blijken scripts te hebben gebruikt om in real time toetsaanslagen, muisbewegingen en scrollgedrag op te nemen.

Uit de resultaten van het onderzoek blijkt dat er ongeveer 970 Nederlandse websites met een .nl-domein zijn waarvan de onderzoekers hebben geconstateerd dat er tools aanwezig waren om sessies van bezoekers te registeren. In totaal waren er zo’n 381 websites met een .be-domein waarbij dit het geval was. Al deze websites hebben scripts geïncorporeerd van bedrijven die diensten aanbieden voor het opnemen van sessies. Het gaat dan bijvoorbeeld om Yandex, FullStory, Mouseflow, Hotjar, UserReplay, Smartlook, Clicktale en SessionCam.

Bij 13 van de 970 Nederlandse sites bleek dat daadwerkelijk sessies zijn opgenomen; voor de Belgische sites kwam dat aantal uit op 7 van de 381 websites. Een van de Nederlandse websites die daadwerkelijk gebruik hebben gemaakt van sessionreplay, is de site van Tele2. Woordvoerder Robin Janszen zegt dat zijn bedrijf tot oktober gebruikt heeft gemaakt van Clicktale om de digitale ervaring van gebruikers te optimaliseren. Tele2 is volgens hem echter gestopt met Clicktale en er wordt inmiddels gebruikgemaakt van Decibel Insights.

Een voorbeeld van een heatmap van een pagina van de site van Hotjar, waarbij de gekleurde vlekken aangeven hoe vaak gebruikers hun cursor naar bepaalde delen van de website hebben bewogen.

Tweakers komt in het onderzoek niet naar voren en staat ook niet in het rijtje van 970 Nederlandse websites. Bezoekers van Tweakers krijgen niet te maken met sessionrecording in de zin van het opnemen van sessies die dan via bijvoorbeeld diensten als Mouseflow of Hotjar worden doorgestuurd naar servers van derden. Er wordt wel eens data verzameld voor het verbeteren van de functionaliteit waarbij bepaalde aspecten worden opgeslagen, waarbij ook heatmaps kunnen worden gemaakt. Dit gaat echter niet verder dan wat x- of y-coördinaten en het wordt niet als een gehele sessie samengevoegd. Standaard wordt dit ook niet gedaan. Er worden wel eens a/b-testen gedaan waarin het ene deel van de gebruikers een andere uitwerking van een functionaliteit te zien krijgt dan de andere groep. Hierbij wordt de visual website optimizer als tool gebruikt, maar dit staat standaard uit.

Wat de methode betreft heeft de universiteit data uit verschillende bronnen gecombineerd. Zo hebben de onderzoekers een eigen script ingezet en hebben ze naar bepaalde url’s van sessionrecordingdiensten gekeken of deze alleen aanwezig waren bij het opnemen van sessies. Ook hebben de onderzoekers een op OpenWPM gebaseerde crawler ingezet, waarmee is gekeken of een bepaalde toegevoegde waarde aan de html van de pagina werd meegestuurd naar een derde partij in het verkeer van de pagina.

Nederlandse websites waarvan is bewezen dat sessies zijn opgenomen
Website Analytics-dienst
icscards.nl clicktale.net
tele2.nl clicktale.net
adidas.nl clicktale.net
vikingdirect.nl mouseflow.com
auto-onderdelen24.nl yandex.ru
gyzs.nl mouseflow.com
navigator.nl mouseflow.com
kluwer.nl mouseflow.com en hotjar.com
socialpaint.nl mouseflow.com
eliquidmania.nl hotjar.com
wolterskluwer.nl mouseflow.com en hotjar.com
bandenbestellen.nl hotjar.com
cmtelecom.nl hotjar.com
Belgische websites waarvan is bewezen dat sessies zijn opgenomen
Website Analytics-dienst
kbc.be clicktale.net
britishschool.be decibelinsight.net
tepp.be mouseflow.com
vikingdirect.be mouseflow.com
nob-onb.be hotjar.com
eurogifts.be hotjar.com
twizzi.be hotjar.com

Het topje van de ijsberg?

Omdat de opneemdiensten niet altijd in gebruik zijn en omdat de door de onderzoekers gebruikte methode haar beperkingen kent, ligt het voor de hand dat er nog veel meer websites in Nederland en België zijn die daadwerkelijk sessies van bezoekers hebben opgenomen. Zo werd van ongeveer 970 en 381 Belgische websites geconstateerd dat er scripts aanwezig waren voor het opnemen van sessies, alleen is het daadwerkelijke gebruik ervan tijdens het onderzoek niet aangetoond.

Wat opvalt is dat er vooral veel grote, bekende winkelbedrijven in dit rijtje van 970 Nederlandse websites zitten. Ook zitten er opvallend veel universiteitswebsites bij. De Princeton-onderzoekers hebben van deze websites niet kunnen vaststellen dat er daadwerkelijk sessies zijn opgenomen, maar desgevraagd laten de universiteiten weten dat ze nog altijd gebruikmaken of in het verleden gebruikgemaakt hebben van sessionrecording.

Hotjar logoZo meldt een woordvoerder van de Universiteit Twente dat sinds oktober 2015 gebruik wordt gemaakt van hotjar.com, maar dat sessionrecording standaard uit staat. De universiteit zegt het alleen te gebruiken als analysetool, waarbij enkel de clicks en scrollsessies worden opgenomen en bewust niet de keystrokes. Hierdoor is er volgens de woordvoerder geen sprake van het herleiden van persoonsgegegevens.

Ook de Universiteit van Amsterdam blijkt gebruik te maken van Hotjar; deze dienst werd ruim een jaar geleden voor het eerst gebruikt. Volgens de woordvoerder wordt het gebruikt als een feedbacktool voor de heatmaps en surveys, zodat kan worden gekeken waar bezoekers wel en niet op klikken en hoe ze door de site navigeren. De Rotterdamse Erasmus Universiteit maakte vanaf begin september kort gebruik van Hotjar, maar een woordvoerder zegt dat de universiteit dat sinds november vorig jaar niet meer doet.

Het aantal websites dat sessies opneemt, zal groter zijn dan het onderzoek doet vermoedenHet feit dat deze drie websites aangeven gebruik te maken of gebruik te hebben gemaakt van sessionrecording, geeft wel aan dat het aantal websites dat sessies opneemt, heel wat groter zal zijn dan het onderzoek wellicht doet vermoeden. Aangezien er bij 970 Nederlandse en 381 Belgische websites scripts voor sessionrecording aanwezig waren, ligt het voor de hand dat het merendeel van deze sites dergelijke tools ook daadwerkelijk inzet. Overigens heeft het onderzoek van Princeton zich beperkt tot de grotere websites, waardoor de scope van het onderzoek nog relatief beperkt was en er dus nog veel meer Nederlandse en Belgische websites zullen zijn die scripts voor sessionreplay hebben en gebruiken.

De risico’s met betrekking tot privacy

De onderzoekers waarschuwen dat anonimiteit bij het vergaren van de data redelijkerwijs niet altijd verwacht kan worden, omdat het veel werk is om alle opgeslagen data te ontdoen van eventuele persoonsgegevens. Gevoelige informatie, zoals medische gegevens, creditcardinformatie en andere persoonlijke informatie, kan via de scripts op servers van derden terechtkomen, waarbij de beveiliging van deze data ook een probleem kan zijn. Zo bleek dat Hotjar de data via http en niet via https verstuurde, ook al vond de opname van de sessie plaats op een website die gebruikmaakte van https.

Een ander belangrijk probleem is volgens de onderzoekers het feit dat de verschillende bedrijven achter de sessionrecordingdiensten de websites toestaan om precies aan te geven welke invulelementen buiten de opnames moeten blijven. Het bedrijf achter de website moet dan actief elk invulelement in de gaten houden en bepalen of het persoonlijke data bevat. Dit is volgens de onderzoekers niet eenvoudig, gevoelig voor fouten en kostbaar, vooral omdat de website of de onderliggende code op den duur nogal eens verandert.

Omdat gebruikers op de websites bijvoorbeeld allerlei formulieren kunnen invullen, wordt daarbij veelal gevoelige informatie gedeeld, zoals namen, telefoonnummers, e-mailadressen en wachtwoorden. Alle onderzochte sessionrecordingdiensten spelen hierop in met een geautomatiseerd proces waarbij die gegevens niet worden meegenomen in de opnames. Wat er wel en niet buiten de opnames wordt gehouden, verschilt sterk per dienst en hier zitten ook inherente beperkingen aan. Zo bleek de dienst FullStory het creditcardnummer te maskeren in het daarvoor bestemde invulveld, maar als de websitebezoeker per ongeluk zijn nummer invulde in een veld daar vlakbij, dat daar niet voor was bedoeld, werd de ingevulde waarde en dus het creditcardnummer gewoon verzameld.

Session recording redacted fields

De mate waarin enkele onderzochte diensten gevoelige persoonlijke informatie weglaten of verbergen in de resultaten. Een zwart bolletje betekent dat die data is weggelaten.

Volgens de onderzoekers wordt specifiek getracht om wachtwoordvelden buiten de opnames te houden, maar in sommige gevallen blijkt dat niet het geval te zijn geweest. Vooral als de invulvelden om in te loggen geschikt zijn voor mobiel gebruik, blijkt vaak geen sprake te zijn van het automatisch verwijderen van deze invulvelden in de opnames. De websitebeheerder moet dat dan handmatig doen, wat volgens de onderzoekers bij minstens één website niet is gebeurd. En als het ingevulde wachtwoord wordt gemaskeerd, dan nog blijft de lengte van het wachtwoord bij bepaalde diensten zichtbaar.

Is sessionreplay in overeenstemming met de privacyregels?

Sessionrecording is op zichzelf nergens in de wet omschreven. Dat wil echter niet zeggen dat er geen regels zijn waar de websites aan moeten voldoen als ze bijvoorbeeld Mouseflow of Hotjar gebruiken voor het opnemen van sessies. Voor het opnemen van een sessie wordt een cookie op de computer van de websitebezoeker geplaatst, waarbij informatie van randapparatuur wordt uitgelezen. Dat betekent dat de praktijk van sessionreplay onder de cookiebepaling valt.

Deze wettelijke bepaling is in 2015 versoepeld, waardoor, bij uitzondering, cookies die uitsluitend zijn bedoeld voor een goed werkende website, zonder toestemming van de bezoeker zijn toegestaan. Het gaat dan bijvoorbeeld om een cookie om de inhoud van een winkelwagentje bij een webwinkel te onthouden of om bepaalde analytische cookies. De cookies die geplaatst worden voor sessionrecording, zullen meestal niet onder deze uitzonderingen vallen, omdat deze veel ingrijpender zijn en gevolgen kunnen hebben voor de persoonlijke levenssfeer.

David Kortweg van Bits of Freedom stelt dan ook dat websites de gebruikers vooraf goed moeten informeren en om hun toestemming moeten vragen. “In heel veel gevallen wordt de gebruiker onvoldoende geïnformeerd en is de gegeven toestemming niet geldig. Je verschuilen achter wat algemene tekst in een privacypolicy of algemene voorwaarden is bij de inzet van dit soort technologie echt onvoldoende.”

Als een website niet expliciet om toestemming vraagt, komt dit al snel in het vaarwater van het strafrechtPieter Kalis, die als promovendus aan de Universiteit van Leiden onderzoek doet naar de beveiliging van netwerken in het Telecommunicatierecht, deelt deze analyse en stelt dat een melding van een website in de vorm van “Wij plaatsen cookies ja/nee” onvoldoende is voor toestemming voor sessionrecording. “Een korte omschrijving inclusief doelomschrijving en een link naar de volledige voorwaarden zou al genoeg kunnen zijn, mits daarbij duidelijk gevraagd wordt om toestemming. Maar dan mag het dus niet zo zijn dat er alvast cookies worden geplaatst voordat men op Ja heeft kunnen klikken.” Of er sprake is van expliciete toestemming, hangt dus sterk af van de concrete situatie.

Hoogleraar informatierecht Nico van Eijk merkt in deze context nog op dat als een website niet expliciet en op een duidelijke plek om toestemming vraagt, en dus de cookiebepaling uit de Telecommunicatiewet niet naleeft, dit al snel in het vaarwater van het strafrecht komt. “De activiteiten bij sessionrecording kunnen dan gezien worden als een vorm van computerhuisvredebreuk en gegevensdiefstal wanneer geen toestemming is verkregen. Het is dan in wezen een vorm van hacking.”

Daarnaast kan sprake zijn van schending van de Wet bescherming persoonsgegevens. Pieter Kalis zegt dat als gegevens geanalyseerd en gecombineerd worden, de wet stelt dat ze als persoonsgegevens gezien moeten worden. “Wanneer een site zegt geen persoonsgegevens op te slaan, dan moet er wel rekening mee worden gehouden dat persoonsgegevens meer zijn dan alleen bijvoorbeeld namen of huisadressen. Wanneer er allemaal analyses op die sessionrecordings worden losgelaten, kun je al vrij snel spreken van gegevens die herleidbaar zijn tot een individu en dat zijn persoonsgegevens.”


Comments are closed.