Situs web nirlaba melacak pengunjung, beberapa bahkan melacak penekanan tombol

Tahun lalu, hampir 200 juta orang mengunjungi situs Planned Parenthood, sebuah organisasi nirlaba yang banyak dikunjungi orang untuk hal-hal yang sangat pribadi seperti pendidikan seks, akses ke kontrasepsi, dan akses ke aborsi. Apa yang mungkin tidak diketahui oleh pengunjung tersebut adalah bahwa segera setelah mereka membuka planparenthood.org, sekitar dua lusin pelacak iklan yang tertanam di situs tersebut memperingatkan banyak perusahaan yang bisnisnya bukan kebebasan reproduksi tetapi mengumpulkan, menjual, dan menggunakan data penelusuran.

Markup menjalankan situs web Planned Parenthood melalui alat Blacklight kami dan menemukan 28 pelacak iklan dan 40 kuki pihak ketiga yang melacak pengunjung, selain apa yang disebut "perekam sesi" yang dapat menangkap gerakan mouse dan penekanan tombol orang yang mengunjungi beranda dalam penelusuran hal-hal seperti informasi tentang kontrasepsi dan aborsi. Situs ini juga berisi pelacak yang memberi tahu Facebook dan Google jika pengguna mengunjungi situs tersebut.

Pemindaian Markup menemukan situs Planned Parenthood berkomunikasi dengan perusahaan seperti Oracle, Verizon, LiveRamp, TowerData, dan Quantcast—beberapa di antaranya telah membuat bisnis perakitan dan penjualan akses ke banyak data digital tentang kebiasaan orang.

Katie Skibinski, wakil presiden untuk produk digital di Planned Parenthood, mengatakan data yang dikumpulkan di situs webnya "hanya digunakan untuk tujuan internal oleh Planned Parenthood dan afiliasi kami," dan perusahaan tidak "menjual" data ke pihak ketiga.

“Meskipun kami bertujuan untuk menggunakan data untuk mempelajari bagaimana kami dapat menjadi yang paling berdampak, di Planned Parenthood, pembelajaran berbasis data selalu dilaksanakan dengan penuh pertimbangan dengan menghormati privasi pasien dan pengguna,” kata Skibinski. “Ini berarti menggunakan platform analitik untuk mengumpulkan data agregat untuk mengumpulkan wawasan dan mengidentifikasi tren yang membantu kami meningkatkan program digital kami.”

Skibinski tidak membantah bahwa organisasi tersebut berbagi data dengan pihak ketiga, termasuk pialang data.

Pemindaian Blacklight dari Planned Parenthood Gulf Coast—situs web yang dilokalkan khusus untuk orang-orang di kawasan Teluk, termasuk Texas, tempat aborsi pada dasarnya dilarang—menghasilkan hasil yang serupa.

Planned Parenthood tidak sendirian dalam hal organisasi nirlaba, beberapa beroperasi di area sensitif seperti kesehatan mental dan kecanduan, mengumpulkan dan berbagi data tentang pengunjung situs web.

Dengan menggunakan alat Blacklight kami, The Markup memindai lebih dari 23.000 situs web organisasi nirlaba, termasuk yang dimiliki oleh penyedia aborsi dan pusat perawatan kecanduan nirlaba. Markup menggunakan file induk nirlaba IRS untuk mengidentifikasi organisasi nirlaba yang telah mengajukan pengembalian pajak sejak 2019 dan yang dikategorikan sebagai fokus pada bidang-bidang seperti kesehatan mental dan intervensi krisis, hak-hak sipil, dan penelitian medis. Kami kemudian memeriksa situs web masing-masing nirlaba yang terdaftar secara publik di GuideStar. Kami menemukan bahwa sekitar 86 persen dari mereka memiliki cookie pihak ketiga atau permintaan jaringan pelacakan. Sebagai perbandingan, ketika The Markup melakukan survei terhadap 80.000 situs web teratas pada tahun 2020, kami menemukan 87 persen menggunakan beberapa jenis pelacakan pihak ketiga.

Sekitar 11 persen dari 23.856 situs web nirlaba yang kami pindai memiliki piksel Facebook yang disematkan, sementara 18 persen menggunakan fitur "Pemirsa Pemasaran Ulang" Google Analytics.

Markup menemukan bahwa 439 situs web nirlaba memuat skrip yang disebut perekam sesi, yang dapat memantau klik dan penekanan tombol pengunjung. Delapan puluh sembilan di antaranya adalah untuk situs web milik organisasi nirlaba yang dikategorikan IRS sebagai fokus utama pada masalah kesehatan mental dan intervensi krisis.

“Sebagai pengguna situs web ini, dengan membagikan informasi Anda kepada mereka, Anda mungkin tidak berasumsi bahwa informasi sensitif ini dibagikan kepada pihak ketiga dan tentu saja tidak berasumsi bahwa penekanan tombol Anda direkam,” Gunes Acar, peneliti privasi yang ikut menerbitkan studi tahun 2017 tentang perekam sesi, kata. “Semakin sensitif situs web, semakin saya khawatir.”

Tracy Plevel, wakil presiden pengembangan dan hubungan masyarakat di Gateway Rehab, salah satu organisasi nirlaba dengan perekam sesi di situsnya, mengatakan bahwa organisasi nirlaba menggunakan pelacak dan perekam sesi karena perlu tetap kompetitif dengan rekan-rekan nirlaba yang lebih besar.

“Sebagai organisasi nirlaba, kami menghadapi penyedia nirlaba dengan anggaran iklan besar serta broker perawatan kecanduan yang menarik mereka yang mencari perawatan dengan taktik iklan online serupa dan menghubungkan mereka dengan penyedia yang menawarkan kompensasi 'penjualan' terbesar. ,” kata Plevel. “Selain itu, kami tahu pengalaman pengguna memiliki dampak besar dalam menindaklanjuti perawatan. Ketika seseorang siap untuk berkomitmen pada pengobatan, kita perlu memastikannya semudah mungkin bagi mereka sebelum mereka frustrasi atau terintimidasi oleh prosesnya.”

Organisasi nirlaba lain juga memiliki sejumlah besar pelacak yang disematkan di situs mereka. Markup menemukan 26 pelacak iklan dan 50 cookie pihak ketiga di The Clinic di Sharma-Crawford Attorneys at Law, sebuah klinik hukum Kansas City yang mewakili orang-orang berpenghasilan rendah yang menghadapi deportasi.

Rekha Sharma-Crawford, presiden dewan The Clinic, menulis dalam pernyataan yang dikirim melalui email, "Kami menangani masalah privasi dan keamanan dengan sangat serius dan akan terus bekerja dengan penyedia web kami untuk mengatasi masalah yang telah Anda identifikasi."

Save the Children, sebuah organisasi bantuan kemanusiaan yang didirikan lebih dari 100 tahun yang lalu, memiliki 26 pelacak iklan dan 49 cookie pihak ketiga. March of Dimes, sebuah organisasi nirlaba yang dimulai oleh Presiden Franklin D. Roosevelt yang berfokus pada perawatan ibu dan bayi, memiliki lebih dari 29 pelacak iklan di situsnya dan 58 cookie pihak ketiga. City of Hope, pusat penelitian dan pengobatan kanker California, memiliki 25 pelacak iklan dan 47 cookie pihak ketiga.

Paul Butcher, wakil presiden asosiasi strategi digital global di Save the Children, mengatakan dalam sebuah pernyataan yang dikirim melalui email bahwa organisasi itu “menganggap sangat serius perlindungan data.” Butcher juga menulis bahwa Save the Children mengumpulkan beberapa data melalui pelacak iklan “untuk meningkatkan pengalaman pengguna” dan bahwa organisasi tersebut sedang dalam proses pembenahan kebijakan penyimpanan data dan baru-baru ini merekrut kepala data baru.

March of Dimes dan City of Hope tidak menanggapi permintaan komentar.↩︎ link

Undang-Undang Privasi Tingkat Negara Bagian Miss Nonprofits

Sementara data kesehatan diatur oleh HIPAA, dan FERPA mengatur catatan pendidikan, tidak ada undang-undang federal yang mengatur bagaimana situs web melacak pengunjung mereka. Baru-baru ini, beberapa negara bagian—California, Virginia, dan Colorado—telah memberlakukan undang-undang privasi konsumen yang mengharuskan perusahaan untuk mengungkapkan praktik pelacakan mereka dan mengizinkan pengunjung untuk memilih keluar dari pengumpulan data.

Tetapi organisasi nirlaba di dua negara bagian tersebut, California dan Virginia, tidak perlu mematuhi peraturan tersebut.

Senator Ron Wyden (D-OR), yang telah mengusulkan undang-undang privasi federalnya sendiri, mengatakan bahwa organisasi nirlaba mengumpulkan sejumlah besar data yang berpotensi sensitif.

“Nonprofit menyimpan informasi yang sangat pribadi tentang hal-hal yang kami sukai, mulai dari tujuan politik dan pandangan sosial hingga tujuan amal yang kami pedulikan,” kata Wyden dalam pernyataan melalui email. “Jika pelanggaran data mengungkapkan seseorang menyumbang ke kelompok pendukung kekerasan dalam rumah tangga atau organisasi hak-hak LGBTQ atau nama masjid mereka, semua informasi itu bisa sangat pribadi.”

Namun, para pemimpin nirlaba berpendapat bahwa mereka kekurangan infrastruktur dan pendanaan untuk mematuhi persyaratan undang-undang privasi dan harus mengumpulkan dan berbagi informasi tentang donor agar dapat bertahan.

“Salah satu penggunaan data yang paling substantif dan berdampak besar oleh organisasi nirlaba adalah penggalangan dana kami,” kata Shannon McCracken, CEO The Nonprofit Alliance, sebuah kelompok advokasi yang terdiri dari organisasi nirlaba dan bisnis. “Tanpa kemampuan untuk secara efektif menjangkau calon donor baru dan donor saat ini, maka organisasi nirlaba tidak dapat terus berdampak seperti sekarang ini.”

Tapi sengaja atau tidak, kata pakar privasi, organisasi nirlaba memberi informasi pribadi kepada pialang data dan raksasa teknologi seperti Facebook dan Google.

“Sebuah organisasi nirlaba mungkin membagikan nomor telepon dan nama Anda dengan LiveRamp. Besok, entitas nirlaba kemudian dapat menggunakan kembali data yang sama untuk menargetkan Anda,” kata Ashkan Soltani, pakar privasi dan mantan kepala teknologi di Komisi Perdagangan Federal. “Aliran data yang masuk ke agregator pihak ketiga dan pialang data ini sering kali juga berasal dari organisasi nirlaba.”

Soltani, yang ditunjuk sebagai direktur eksekutif Badan Perlindungan Privasi California pada 4 Oktober, membantu merancang Undang-Undang Privasi Konsumen California, yang awalnya diperkenalkan dengan pengecualian nirlaba.

Banyak organisasi nirlaba besar bekerja dengan pialang data untuk membantu mengatur dan menganalisis data mereka, kata Jan Masaoka, CEO California Association of Nonprofits.

“Orang-orang yang memiliki daftar donor besar menggunakannya secara ekstensif, hampir semuanya menggunakan salah satu layanan tersebut,” kata Masaoka. “Mereka tidak menyimpannya di rumah, hampir semua orang menyimpannya dengan salah satu layanan ini.”

Dia mencatat bahwa Blackbaud adalah perusahaan yang sering menjadi tujuan organisasi nirlaba. Materi pemasaran pialang data yang terdaftar mempromosikan basis data koperasi yang menggabungkan data donor dari lebih dari 550 organisasi nirlaba dengan informasi publik tentang jutaan rumah tangga.

Blackbaud tidak menanggapi permintaan komentar.

Karena kekurangan dana, organisasi nirlaba juga mengandalkan platform pihak ketiga—yang juga merupakan perantara data—untuk mengelola keamanan dan privasi data mereka, kata McCracken. Tetapi jenis perusahaan ini juga tidak kebal terhadap serangan siber: Blackbaud mengungkapkan serangan ransomware pada tahun 2020 di mana peretas mencuri kata sandi, nomor Jaminan Sosial, dan informasi perbankan, menurut pengajuan Komisi Sekuritas dan Bursa. Ratusan organisasi amal, sekolah, dan rumah sakit terpengaruh, bersama dengan lebih dari 13 juta orang, menurut Pusat Sumber Daya Pencurian Identitas.

“Mereka mengandalkan ekosistem bermasalah semacam ini untuk mencapai pekerjaan mereka, dan sebagai hasilnya, mereka berbagi daftar nomor, alamat email, atau perilaku penelusuran dengan perusahaan periklanan pihak ketiga dan membuat anggota mereka berisiko,” kata Soltani.

Pengecualian

Tidak seperti pendahulunya di California dan Virginia, undang-undang privasi Colorado tidak memiliki pengecualian untuk organisasi nirlaba.

Di California dan Virginia, pendukung utama RUU itu memberikan pengecualian kepada organisasi nirlaba sebagai manuver politik. Alastair Mactaggart, pengembang real estat dan pendiri California untuk Privasi Konsumen, yang merupakan kekuatan pendorong di balik Undang-Undang Privasi Konsumen California, mengatakan proposalnya sudah menghadapi tentangan dari raksasa teknologi dan juga tidak menginginkan pertikaian politik dengan organisasi nirlaba.

“Anda harus mengambil langkah pertama, jadi kami pikir ini adalah langkah yang paling mudah untuk dipantulkan,” kata Mactaggart. “Akhirnya, saya berharap organisasi nirlaba besar juga disertakan.”

David Marsden, senator negara bagian yang memperkenalkan Undang-Undang Perlindungan Data Konsumen Virginia, menggemakan sentimen itu, yang mencerminkan bahwa undang-undang itu tidak sempurna tetapi masih merupakan awal yang baik.

“Apakah ini mengambil semua orang yang seharusnya, atau membebaskan semua orang yang membutuhkan pengecualian? Mungkin tidak, tapi cukup dekat,” kata Marsden. “Kami mampu, dengan RUU ini, untuk mengesahkannya tanpa orang-orang bangun dan keberatan dengan apa yang kami coba lakukan.”

Senator negara bagian Colorado Robert Rodriguez, yang ikut mensponsori undang-undang privasi negara bagian, mengatakan dia tidak memasukkan pengecualian untuk organisasi nirlaba karena dia merasa bahwa entitas apa pun yang memiliki data lebih dari 100.000 orang harus mengikuti perlindungan privasi. Dia juga tidak mengerti mengapa negara bagian lain memiliki pengecualian.

"Seseorang yang memiliki lebih dari 100.000 catatan adalah ukuran yang baik," katanya dalam email. “Mereka harus memiliki beberapa perlindungan atau persyaratan untuk diikuti.”

Catatan Editor: Artikel ini awalnya diterbitkan di The Markup oleh Alfred NG dan Maddy Varner, dan diterbitkan ulang di bawah lisensi Creative Commons Attribution-NonCommercial-NoDerivatives .

Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

• Apple akan menolak aplikasi Anda jika berisi pelacak pihak ketiga yang mengumpulkan data tanpa persetujuan
• Cara menghentikan Android Anda dari memberikan pengenal uniknya ke pelacak pihak ketiga
• Cara menghentikan iPhone Anda dari memberikan pengenal uniknya ke pelacak pihak ketiga
• Mozilla Firefox sekarang menawarkan fitur baru yang dirancang untuk melawan pelacak