icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
adblockers-glurende-websites_1200x800px

De 5 grootste privacy ergernissen:

gaat de AVG daar iets aan veranderen? Lees meer

Meerderheid websites overtreedt privacywet

Nieuws | Websites moeten netjes om toestemming vragen voor het plaatsen van tracking cookies. En sinds de de nieuwe privacywet (AVG) moeten websites dat ook op een bepaalde manier doen. Slechts 31% van de websites voldoet aan de regels.
Peter Kulche
Peter Kulche

Expert Elektronica

Bijgewerkt op:  14 juni 2018

tracking-cookies

Sinds 25 mei moeten alle organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG is strenger dan de vorige privacywet waar verschillende bedrijven al moeite mee hadden. Wij constateerden een half jaar geleden dat 2 op de 3 websites de coockiewet overtreden. Ze plaatsten tracking cookies (en pixels) zonder toestemming van de bezoeker, dus voordat je op 'cookies akkoord' hebt geklikt. 

Update 19 juni

- Dumpert.nl heeft na ons onderzoek de plaatsing van de DoubleClick-cookie aangepast. Deze komt pas binnen na het accepteren van de cookies.

- Ook Wehkamp plaatst niet meer direct de DoubleClick-cookie, maar wacht tot je de OK-knop indrukt. Wehkamp.nl plaatst ook een tracker van Optimizely. Maar inmiddels categoriseren we deze als een ‘analytische cookie’ waarvoor geen toestemming van de bezoeker nodig is. Zie meer uitleg onder het kopje ‘Update 14 juni’. 

Ook Afterpay.nl heeft na ons onderzoek het plaatsen van tracking cookies aangepast. Je bepaalt nu zelf voor welke soorten cookies je akkoord geeft.

Update 14 juni 

 - Kpn.nl, XS4All, Nle.nl en Zara.nl plaatsten een trackingcookie van Optimizely vóór de bezoeker kon instemmen. Inmiddels is duidelijk dat Optimizely ook voor analytische doeleinden gebruikt kan worden. Daarmee is het plaatsen van de cookie zonder toestemming mogelijk niet illegaal. In onze lijst met alle 150 websites (pdf) melden wij nu dat de betrokken websites niet 1 maar 0 commerciele trackers plaatsen vóór de bezoekers kan instemmen met de cookiemelding. KPN en XS4All worden daarmee alsnog 'AVG proof' op de onderzochte punten. 

- XS4ALL heeft de cookiemelding aangepast zodat je nu kunt kiezen tussen ‘akkoord’ en ‘niet akkoord’. 

- Bax-shop.nl: na onze meting op 27 mei is er een nieuw cookievenster, meldt de webshopbeheerder. En dat klopt. Via de link ‘Instellingen’ in de cookiebanner kun je nu trackercategorieen aan en uitvinken.

Update 8 juni 

- ah.nl en Bol.com hebben laten weten dat bol.com wel degelijk een keuze aan te bieden om marketingcookies te weigeren. Dit klopt - al is de optie wat verstopt. Dit hebben we bij beide websites in onze lijst met alle 150 websites (pdf). gecorrigeerd.

- Knab.nl laat weten dat de persoonlijke bankieromgeving vrij is van commerciële cookies, en dat de commerciële cookie op de publieke pagina’s een onbedoeld effect was van hun technische oplossing. Deze cookie is inmiddels verwijderd.

- Nos.nl zegt de aangetroffen trackingcookie (Scorecard) alleen voor analysedoeleinden te gebruiken, geanonimiseerd. 

Illegale cookies

Enkele dagen ná het ingaan van de AVG zien we dat 49% van de websites (74 van de 150) direct marketing- en/of advertentiecookies plaatst als je de site opent. Dus zonder dat je toestemming hebt gegeven. De sites tonen bezoekers meestal een cookievenster met een OK-knop maar ze hebben de cookies dan al geplaatst. Deze praktijk was al illegaal volgens de vorige cookiewet en is dat nog steeds.

Met een adblocker kun je je weren tegen het plaatsen van cookies. Die blokkeert de meeste volgcookies (en Facebook pixels).  

Bij 19 van de 150 sites gaat het zelfs om 5 commerciële trackers of meer: 

Website Type website Aantal commerciële tracking cookies zonder toestemming
Reddit.com Sociaal netwerk 45
Hoteldeal.nl Reizen 40
Amazon.de/nl Webwinkel 18
Bever.nl Webwinkel 17
Booking.com Reizen 12
Voordeeluitjes.nl Reizen 11
Nespresso.nl Webwinkel 8
Paradigit.nl Webwinkel 8
Fietsenwinkel.nl Webwinkel 8
Tidal.com Streaming 8
Decathlon.nl Webwinkel 8
Dominos.nl Webwinkel 7
OkCupid.com Dating 7
Eneco.nl Energie 6
Delta.nl Energie 6
Twitch.tv Entertainment 6
groupon.nl Webwinkel 6
Nn.nl (Nationale Nederlanden) Geld / Verzekeringen 5
123inkt.nl Webwinkel 5

Benieuwd hoe de andere websites scoren? Lees de complete lijst van 150 onderzochte websites (pdf).

Techreuzen

De meestgeplaatste trackers zijn van de advertentienetwerken van Google en Facebook. Die techreuzen weten hierdoor precies welke webpagina’s jij bezoekt. Datingsite OkCupid.com meldt direct en zonder toestemming aan onder meer Facebook dat je aan daten doet. Dat is voor Facebook commercieel interessante (maar wel gevoelige) informatie. 

Onze selectie van 150 sites bestond uit populaire websites en sites die gevoelige informatie verwerken. Bijvoorbeeld over je gezondheid of over dating. Het zijn vooral webwinkels die relatief vaak grote ladingen cookies zonder toestemming plaatsen. 

Slechts 31% voldoet aan AVG

De AVG breidt de privacybescherming van consumenten verder uit. Volgens de nieuwe privacywet (AVG) mag een website alleen tracking cookies op jouw apparaat plaatsen als jij daar toestemming voor geeft. En aan die toestemming zijn duidelijke eisen verbonden. Zo moet jij die toestemming vrijelijk, ondubbelzinnig, geïnformeerd en specifiek kunnen geven. Dit betekent een aantal dingen:

  • Een cookiemuur die de hele site blokkeert tot je akkoord geeft is niet langer toegestaan.
  • Je moet akkoord kunnen gaan met verschillende typen cookies (als die geplaatst worden) en die keuze moet duidelijk gecommuniceerd worden.
  • Dat akkoord moet altijd een optie zijn die je zelf moet aanvinken (opt-in) zijn.
  • Je moet je akkoord ook weer kunnen intrekken en dat per cookie of categorie cookies.

Leggen we de 150 onderzochte websites langs de AVG-meetlat, dan voldoet slechts 31% aan de belangrijkste regels. Tracking cookies worden niet (ongevraagd) geplaatst én er is een goed gecommuniceerde cookiekeuze. Je kunt als bezoeker de commerciële trackers weigeren (en toch de site opgaan). 

Weigeroptie verstopt

Een aantal sites heeft wel een optie om de commerciële cookies te weigeren, maar daar is de optie meestal verstopt achter een ‘meer informatie’ link: BVA-Auctions.com, Cameranu.nl, Coolblue.nl, Dominos.nl, Expedia.nl, Icscards.nl, Knab.nl, Lexa.nl. NLziet.nl, Nespresso.nl, XS4ALL.nl. 

Slikken of stikken

26 sites (17%) plaatsen vooraf geen trackingcookies, maar maken trackingcookies onontkoombaar omdat je álle cookies moet accepteren. Het is slikken of stikken en ook dat is niet AVG-proof. Het gaat onder andere om Ah.nl, bol.com, Buienradar.nl, Conrad.nl, Funda.nl, Hema.nl, Ikea.nl, Marktplaats.nl, Rtlnieuws.nl, Telegraaf.nl, Ticketmaster.nl, Videoland.nl, Volkskrant.nl, weeronline.nl. Zij plaatsen na je akkoord voor alle cookies (één keuze) alle trackers. 

Heldere cookiekeuze

Sommige websites bieden wel een heldere cookiekeuze, zonder dat je geleid wordt naar een Akkoord-knop en zonder dat standaard al ‘alle cookies accepteren’ is aangevinkt. Bijvoorbeeld Kanker.nl dat standaard alleen functionele cookies plaatst (en alleen als je wilt ook statistische). Of Alzheimer-nederland.nl met een cookiekeuzemenu en standaard alleen de functionele cookies aangevinkt.

Consumentenbond.nl

De site van de Consumentenbond heeft al enkele jaren een cookiemelding die je laat kiezen om akkoord te gaan met het cookiebeleid of dit beleid af te wijzen. Je kunt op de niet akkoord knop drukken en toch onze site gebruiken. Het plan is later dit jaar bezoekers akkoord te vragen voor de verschillende categorieën cookies. 

Hoe is het onderzoek uitgevoerd? 

We hebben op een Windows-pc met browser Firefox en de adblocker Ghostery gekeken naar de aantallen tracking cookies met commercieel doel die we voor en na het accepteren van de cookiemelding binnenkregen. Het gaat hier om cookies, pixels en vergelijkbare volgtechnieken die Ghostery schaart onder de noemer ‘advertising’ trackers.

Lees ons onderzoek naar 150 onderzochte websites (pdf).

Blijf op de hoogte!

Wil jij op de hoogte blijven van ons actiethema ‘Baas over eigen data’? Laat hier dan je e-mailadres achter.

We zullen je mailadres alleen gebruiken voor berichten over dit thema, maximaal 8 keer keer per jaar. Afmelden kan in de nieuwsbrief zelf. Lees in onze Privacyverklaring meer over hoe de Consumentenbond omgaat met persoonsgegevens.

Voer een geldige e-mailadres in a.u.b.

Bedankt voor je inschrijving

Meer informatie:

Nieuw & interessant

  • Mediapool MG-Veilig online1200x800
    22 aug.

    Bescherm je privacy én je computer

    Denk naast je online-privacy ook aan veilig internetten. Vraag de gratis Minigids Veilig online aan met tips hoe je nepmails herkent, oplichting op Marktplaats voorkomt of een virusscanner kiest.

  • kantoor privacy
    23 mei.

    De nieuwe privacywet: 8 veranderingen

    De nieuwe Europese privacywet is vanaf 25 mei 2018 van kracht. We zetten 8 belangrijke veranderingen op een rij.
  • facebook-advertenties
    17 mei.

    Bedrijven overtreden op grote schaal privacywet

    Veel bedrijven delen ongevraagd klantgegevens met Facebook. Met als doel om gepersonaliseerde advertenties op Facebook te tonen. De Consumentenbond sprak 17 bedrijven hierop aan.
  • Stil_facebookprivacy_03
    17 mei.

    Facebook deelt privacygevoelige informatie

    Een chronische ziekte, politieke voorkeur of grote financiële beslissing. Grote kans dat Facebook het weet. Wie ingaat op een advertentie kan die informatie vervolgens weggeven aan anderen.