Blog: Integratie YouTube video's in strijd met AVG
Veel gemeenten gebruiken YouTube video's in hun communicatie richting inwoners. De no cookie variant is al ongeveer een jaar niet meer mogelijk, dus dat kon alleen nog als je een cookiebanner op je website gebruikt. Maar ondertussen is het inladen van YouTube video's om nóg een reden in strijd met de AVG, namelijk dat Google vereist dat er een referrer-policy meegestuurd wordt vanuit de website. Dit betekent dat Google bij het tonen van een YouTube video aanvullende informatie over de eindgebruiker meekrijgt. Deze kun je niet uitschakelen via een cookiebanner. Daarom raden wij overheidsorganisaties af om YouTube video's op de website(s) te plaatsen.
Door recente browser updates van Google, werkt het inladen van YouTube video’s sinds het najaar van 2025 niet meer. Dit heeft te maken met privacywetgeving. YouTube geeft aan dat Google een zogenaamde referrer-policy vereist die vanuit de website meegestuurd moet worden, om een video op de website te kunnen tonen. Daarmee is het mogelijk om onder andere via statistieken het pad te herleiden dat de bezoeker van de website volgde voordat deze op de video klikte. Als de website niet doorgeeft welk domein de afzender van de video's is, toont YouTube de video niet meer en komt er een foutmelding in beeld.
DigiD
Voor DigiD-websites geldt de norm U/PW.03 die voorschrijft dat er geen referrers meegestuurd mogen worden. Deze veiligheidsnorm hebben we op dit moment als standaard ingesteld voor alle websites, dit is ook volgens de geldende richtlijnen van forum standaardisatie (internet.nl). Omdat we geen referrer beleid meesturen, levert dit dus een foutmelding op bij het insluiten van de YouTube video’s via Sitebox.
Via een omweg plaatsen
Het is mogelijk om toch een YouTube video te plaatsen zonder foutmelding. Dit doe je via een HTML-blok of via de HTML editor in een tekstblok bij het bewerken van een pagina. Dit is bij alle websites mogelijk. Maar let op: als je DigiD op de website gebruikt, kan het zijn dat je dan niet meer slaagt voor de audit. En de vraag is of je dit wilt en kunt toestaan als overheidsorganisatie, want dit is in strijd met de AVG.
Door het meesturen van de referrer krijgt Google aanvullende informatie over de eindgebruiker. Dit is informatie die het bedrijf niet zelf verzamelt met een cookie, maar informatie die door de website wordt gedeeld. Daarnaast kan deze informatie - volgens de definitie in de AVG - als persoonsgegevens worden gezien.
Gebruik van YouTube door overheidsorganisaties
Voor het delen van persoonsgegevens met Google heeft de gemeente geen wettelijke grondslag, wat betekent dat je hier altijd toestemming voor nodig hebt.
Ook wanneer je linkt naar video's die op YouTube staan, krijgt Google altijd persoonsgegevens van de bezoeker. De verantwoordelijkheid voor de verwerking van persoonsgegevens verplaatst hierbij niet automatisch naar YouTube. Hierover zijn in het verleden ook verschillende uitspraken geweest.
Als Youtube de enige plek is waar je de video toegankelijk deelt, is er geen mogelijkheid om de video te bekijken zonder dat Google persoonsgegevens van je krijgt. Daarom vinden wij dat hier nooit sprake kan zijn van vrij gegeven toestemming voor het delen van persoonsgegevens.
Bespreek het gebruik van YouTube voor het delen van video's daarom altijd vooraf met je FG.
Onze rol
Vanuit CARE zien we het als onze rol om onze klanten hierover goed te informeren. Maar de eindverantwoordelijkheid ligt bij de gemeente zelf. Dus als je in overleg met je FG hierin een weloverwogen keuze maakt, gaan wij hierin mee en is het dus wel mogelijk om YouTube video's weer werkend te krijgen op je website. Maar een beter alternatief is kiezen voor een privacyvriendelijke videoplayer, hierover denken we ook graag met je mee.