EUGDPR Audit
RU EN
Технический аудит · 2026-06-16

rijkswaterstaat.nl

Сайт агентства инфраструктуры и водного хозяйства Нидерландов
NL

Rijkswaterstaat.nl — сайт исполнительного агентства инфраструктуры и водного хозяйства Нидерландов, отвечающего за дороги, водные пути и защиту от наводнений. Замер главной страницы: 33 обращения, 11 доменов. На сайте используется правильная обезличенная государственная статистика, но поверх неё подключены два сторонних сервиса без какого-либо механизма согласия: аналитика Google сразу в двух поколениях отправляет обращения без сигнала согласия, а сервис записи сессий и тепловых карт от Microsoft активно записывает поведение пользователя и отправляет данные. Платформы сбора согласия в замере нет. Для государственного сайта это показательно, ведь рядом уже работает обезличенная статистика, которой было бы достаточно.

Хронология утечки

807 мс · устаревшая аналитика Google загружается
Загружается устаревшее поколение аналитики Google. Этот вариант давно выведен из эксплуатации, но здесь продолжает работать.
950 мс · государственная обезличенная статистика
Загружается централизованная веб-статистика правительства в обезличенном режиме. Эта часть устроена правильно.
1646 мс · устаревшая аналитика Google отправляет просмотр
Устаревшее поколение аналитики Google отправляет обращение вообще без сигнала согласия — режим согласия не настроен.
1663 мс · запись сессий Microsoft загружается
Загружается сервис записи сессий и тепловых карт от Microsoft. Он предназначен фиксировать поведение пользователя на странице.
1924 мс · текущая аналитика Google отправляет просмотр
Текущее поколение аналитики Google отправляет просмотр страницы — также без сигнала согласия.
2486 мс · запись сессии отправляет данные
Сервис записи сессий отправляет данные о поведении пользователя на свои серверы. Без согласия.
механизма согласия нет, но данные уже ушли
Платформы сбора согласия в замере не обнаружено. Аналитика Google и запись сессий отработали свободно. Cookie через заголовки за сеанс не выставлено, но данные уже переданы сторонним сервисам.

Декларация против факта

Государственная статистика Piwik PRO — заявлен
+ Microsoft Clarity (запись сессий) — не заявлен
+ Google Analytics — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.rijkswaterstaat.nl — сайт исполнительного агентства инфраструктуры и водного хозяйства Нидерландов (Rijkswaterstaat): главная дорожная сеть, водные пути, управление водными системами и защита от наводнений. Контролёр данных — Rijkswaterstaat, государственное агентство. Сайт информационный.

Замер: 33 обращения к 11 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Технический стек сочетает правильную государственную статистику с двумя сторонними коммерческими сервисами.

Кто получает данные

Тут были замечены: Microsoft, Google.

Аналитика Google присутствует в двух поколениях и отправляет обращения без сигнала согласия. Сервис записи сессий и тепловых карт от Microsoft активно записывает поведение пользователя и отправляет данные. Параллельно работает правильная обезличенная государственная статистика. Принципиальный момент в том, что аналитика Google и запись сессий работают без какого-либо механизма согласия.

Был ли баннер согласия

Платформы сбора согласия в замере не обнаружено. Аналитика Google отправляет обращения вообще без сигнала согласия — режим согласия не настроен, — а сервис записи сессий активно фиксирует поведение. Cookie за сеанс не выставлено, но данные аналитике и сервису записи сессий уже переданы.

Что срабатывает до согласия

Без какого-либо согласия отрабатывает:

  • аналитика Google — два поколения, без сигнала согласия;
  • запись сессий и тепловые карты Microsoft — фиксация поведения и отправка данных.

Обе цели — нетехнические, требующие согласия. Государственная обезличенная статистика, работающая рядом, к претензии отношения не имеет — она настроена правильно.

Нераскрытый получатель

Отдельный пункт. Политика упоминает Microsoft только как поставщика офисных продуктов, но сервис записи сессий и тепловых карт от Microsoft, фиксирующий поведение посетителя, в ней не назван. То есть сервис записи сессий как получатель данных не раскрыт.

Вывод

Rijkswaterstaat.nl — показательный для государственного сайта случай. Правильная обезличенная государственная статистика здесь уже есть — но поверх неё прикручены аналитика Google в двух поколениях без сигнала согласия и сервис записи сессий Microsoft, который фиксирует поведение пользователя. Платформы сбора согласия нет, а сервис записи сессий вдобавок не раскрыт в политике. Главное, что должен вынести читатель: государственному агентству вполне хватило бы уже имеющейся обезличенной статистики, а добавление коммерческой аналитики и записи сессий без согласия превращает корректную в основе конфигурацию в нарушение. Достаточно убрать запись сессий и стороннюю аналитику или поставить их за согласие, оставив обезличенную государственную статистику."

Доказательство
Оригинал (разбор)
HAR-файл: nl/rijkswaterstaat-nl-2026-06-16.har
SHA-256: 639acc8adb911288834b8a3e2f112a269d6178a6fa26e557331dc8f691223e7f
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: AP — Голландский орган по защите данныхautoriteitpersoonsgegevens.nl 

Кому: AP — Голландский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом rijkswaterstaat.nl.

2. Обстоятельства
Я посетил сайт rijkswaterstaat.nl и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 16.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте используется правильная обезличенная государственная статистика, но поверх неё подключены два сторонних коммерческих сервиса, которые работают без какого-либо механизма согласия. Аналитика Google присутствует сразу в двух поколениях — устаревшем и текущем — и отправляет обращения вообще без сигнала согласия: режим согласия не настроен. Дополнительно работает сервис записи сессий и тепловых карт от Microsoft, который активно записывает поведение пользователя на странице и отправляет данные на свои серверы. Платформы сбора согласия в замере не обнаружено, cookie за сеанс не выставлено, но это не отменяет того, что аналитика и запись сессий уже передали данные сторонним сервисам. Аналитика и запись сессий — нетехнические цели, требующие согласия; здесь они отрабатывают без какого-либо согласия. Для государственного сайта это особенно показательно, поскольку рядом уже работает обезличенная государственная статистика, которой было бы достаточно.

2) Политика упоминает Microsoft только как поставщика офисных продуктов, но сервис записи сессий и тепловых карт от Microsoft, который фиксирует поведение посетителя, в ней не назван. То есть сервис записи сессий, отправляющий данные о действиях пользователя, как получатель не раскрыт.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/rijkswaterstaat-nl/

3. Нарушенные положения
Art. 6(1)(a) GDPR и ст. 11.7a Telecommunicatiewet — аналитика Google и запись сессий Microsoft работают без согласия; Art. 13 GDPR — сервис записи сессий Microsoft и аналитика Google как поведенческие средства в политике не раскрыты

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]