icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
adblockers-glurende-websites_1200x800px

De 5 grootste privacy ergernissen:

gaat de AVG daar iets aan veranderen? Lees meer

Meerderheid websites overtreedt privacywet

Nieuws | Websites moeten netjes om toestemming vragen voor het plaatsen van tracking cookies. En sinds de de nieuwe privacywet (AVG) moeten websites dat ook op een bepaalde manier doen. Slechts 31% van de websites voldoet aan de regels.
Peter Kulche
Peter Kulche

Expert Elektronica

Bijgewerkt op:  17 juli 2018

tracking-cookies

Sinds 25 mei moeten alle organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG is strenger dan de vorige privacywet waar verschillende bedrijven al moeite mee hadden. Wij constateerden een half jaar geleden dat 2 op de 3 websites de coockiewet overtreden. Ze plaatsten tracking cookies (en pixels) zonder toestemming van de bezoeker, dus voordat je op 'cookies akkoord' hebt geklikt. 

Update: veel verbeteringen door bedrijven

Voordat je verder leest: veel bedrijven hebben na onze publicatie verbeteringen doorgevoerd. Dit is er gebeurd sinds onze publicatie:

  • ABN AMRO heeft laten weten dat het bij bezoek aan de website weliswaar direct de Doubleclick-cookie installeerde, maar dat activatie pas volgde na toestemming. De bank heeft desondanks besloten de Doubleclick-cookie niet meer te plaatsen voordat de klant hier expliciet toestemming voor heeft gegeven. Dit is inmiddels aangepast.
  • ANWB.nl en Pharosreizen.nl plaatsten een DoubleClick-cookie voordat je akkoord had gegeven. Die is inmiddels verwijderd. Ook de privacy-instellingen in Google Analytics zijn aangepast. ANWB en Pharosreizen voldoen nu naar eigen zeggen alsnog aan alle wettelijke regels omtrent AVG.
  • Dumpert.nl heeft na ons onderzoek de plaatsing van de DoubleClick-cookie aangepast. Deze komt pas binnen na het accepteren van de cookies.
  • Wehkamp plaatst niet meer direct de DoubleClick-cookie, maar wacht tot je de OK-knop indrukt. Wehkamp.nl plaatst ook een tracker van Optimizely. Maar inmiddels categoriseren we deze als een ‘analytische cookie’ waarvoor geen toestemming van de bezoeker nodig is. Zie meer uitleg onder het kopje ‘Update 14 juni’. 
  • Afterpay.nl heeft na ons onderzoek het plaatsen van tracking cookies aangepast. Je bepaalt nu zelf voor welke soorten cookies je akkoord geeft.
  • Kpn.nl, XS4All, Nle.nl en Zara.nl plaatsten een trackingcookie van Optimizely vóór de bezoeker kon instemmen. Inmiddels is duidelijk dat Optimizely ook voor analytische doeleinden gebruikt kan worden. Daarmee is het plaatsen van de cookie zonder toestemming mogelijk niet illegaal. In onze lijst met alle 150 websites (pdf) melden wij nu dat de betrokken websites niet 1 maar 0 commerciele trackers plaatsen vóór de bezoekers kan instemmen met de cookiemelding. KPN en XS4All worden daarmee alsnog 'AVG proof' op de onderzochte punten. 
  • XS4ALL heeft de cookiemelding aangepast zodat je nu kunt kiezen tussen ‘akkoord’ en ‘niet akkoord’. 
  • Bax-shop.nl: na onze meting op 27 mei is er een nieuw cookievenster, meldt de webshopbeheerder. En dat klopt. Via de link ‘Instellingen’ in de cookiebanner kun je nu trackercategorieen aan en uitvinken.
  • ah.nl en Bol.com hebben laten weten dat bol.com wel degelijk een keuze aan te bieden om marketingcookies te weigeren. Dit klopt - al is de optie wat verstopt. Dit hebben we bij beide websites in onze lijst met alle 150 websites (pdf). gecorrigeerd.
  • Knab.nl laat weten dat de persoonlijke bankieromgeving vrij is van commerciële cookies, en dat de commerciële cookie op de publieke pagina’s een onbedoeld effect was van hun technische oplossing. Deze cookie is inmiddels verwijderd.
  • Nos.nl zegt de aangetroffen trackingcookie (Scorecard) alleen voor analysedoeleinden te gebruiken, geanonimiseerd. 

Illegale cookies

Enkele dagen ná het ingaan van de AVG zien we dat 49% van de websites (74 van de 150) direct marketing- en/of advertentiecookies plaatst als je de site opent. Dus zonder dat je toestemming hebt gegeven. De sites tonen bezoekers meestal een cookievenster met een OK-knop maar ze hebben de cookies dan al geplaatst. Deze praktijk was al illegaal volgens de vorige cookiewet en is dat nog steeds.

Met een adblocker kun je je weren tegen het plaatsen van cookies. Die blokkeert de meeste volgcookies (en Facebook pixels).  

Bij 19 van de 150 sites gaat het zelfs om 5 commerciële trackers of meer: 

Website Type website Aantal commerciële tracking cookies zonder toestemming
Reddit.com Sociaal netwerk 45
Hoteldeal.nl Reizen 40
Amazon.de/nl Webwinkel 18
Bever.nl Webwinkel 17
Booking.com Reizen 12
Voordeeluitjes.nl Reizen 11
Nespresso.nl Webwinkel 8
Paradigit.nl Webwinkel 8
Fietsenwinkel.nl Webwinkel 8
Tidal.com Streaming 8
Decathlon.nl Webwinkel 8
Dominos.nl Webwinkel 7
OkCupid.com Dating 7
Eneco.nl Energie 6
Delta.nl Energie 6
Twitch.tv Entertainment 6
groupon.nl Webwinkel 6
Nn.nl (Nationale Nederlanden) Geld / Verzekeringen 5
123inkt.nl Webwinkel 5

Benieuwd hoe de andere websites scoren? Lees de complete lijst van 150 onderzochte websites (pdf).

Techreuzen

De meestgeplaatste trackers zijn van de advertentienetwerken van Google en Facebook. Die techreuzen weten hierdoor precies welke webpagina’s jij bezoekt. Datingsite OkCupid.com meldt direct en zonder toestemming aan onder meer Facebook dat je aan daten doet. Dat is voor Facebook commercieel interessante (maar wel gevoelige) informatie. 

Onze selectie van 150 sites bestond uit populaire websites en sites die gevoelige informatie verwerken. Bijvoorbeeld over je gezondheid of over dating. Het zijn vooral webwinkels die relatief vaak grote ladingen cookies zonder toestemming plaatsen. 

Slechts 31% voldoet aan AVG

De AVG breidt de privacybescherming van consumenten verder uit. Volgens de nieuwe privacywet (AVG) mag een website alleen tracking cookies op jouw apparaat plaatsen als jij daar toestemming voor geeft. En aan die toestemming zijn duidelijke eisen verbonden. Zo moet jij die toestemming vrijelijk, ondubbelzinnig, geïnformeerd en specifiek kunnen geven. Dit betekent een aantal dingen:

  • Een cookiemuur die de hele site blokkeert tot je akkoord geeft is niet langer toegestaan.
  • Je moet akkoord kunnen gaan met verschillende typen cookies (als die geplaatst worden) en die keuze moet duidelijk gecommuniceerd worden.
  • Dat akkoord moet altijd een optie zijn die je zelf moet aanvinken (opt-in) zijn.
  • Je moet je akkoord ook weer kunnen intrekken en dat per cookie of categorie cookies.

Leggen we de 150 onderzochte websites langs de AVG-meetlat, dan voldoet slechts 31% aan de belangrijkste regels. Tracking cookies worden niet (ongevraagd) geplaatst én er is een goed gecommuniceerde cookiekeuze. Je kunt als bezoeker de commerciële trackers weigeren (en toch de site opgaan). 

Weigeroptie verstopt

Een aantal sites heeft wel een optie om de commerciële cookies te weigeren, maar daar is de optie meestal verstopt achter een ‘meer informatie’ link: BVA-Auctions.com, Cameranu.nl, Coolblue.nl, Dominos.nl, Expedia.nl, Icscards.nl, Knab.nl, Lexa.nl. NLziet.nl, Nespresso.nl, XS4ALL.nl. 

Slikken of stikken

26 sites (17%) plaatsen vooraf geen trackingcookies, maar maken trackingcookies onontkoombaar omdat je álle cookies moet accepteren. Het is slikken of stikken en ook dat is niet AVG-proof. Het gaat onder andere om Ah.nl, bol.com, Buienradar.nl, Conrad.nl, Funda.nl, Hema.nl, Ikea.nl, Marktplaats.nl, Rtlnieuws.nl, Telegraaf.nl, Ticketmaster.nl, Videoland.nl, Volkskrant.nl, weeronline.nl. Zij plaatsen na je akkoord voor alle cookies (één keuze) alle trackers. 

Heldere cookiekeuze

Sommige websites bieden wel een heldere cookiekeuze, zonder dat je geleid wordt naar een Akkoord-knop en zonder dat standaard al ‘alle cookies accepteren’ is aangevinkt. Bijvoorbeeld Kanker.nl dat standaard alleen functionele cookies plaatst (en alleen als je wilt ook statistische). Of Alzheimer-nederland.nl met een cookiekeuzemenu en standaard alleen de functionele cookies aangevinkt.

Consumentenbond.nl

De site van de Consumentenbond heeft al enkele jaren een cookiemelding die je laat kiezen om akkoord te gaan met het cookiebeleid of dit beleid af te wijzen. Je kunt op de niet akkoord knop drukken en toch onze site gebruiken. Het plan is later dit jaar bezoekers akkoord te vragen voor de verschillende categorieën cookies. 

Hoe is het onderzoek uitgevoerd? 

We hebben op een Windows-pc met browser Firefox en de adblocker Ghostery gekeken naar de aantallen tracking cookies met commercieel doel die we voor en na het accepteren van de cookiemelding binnenkregen. Het gaat hier om cookies, pixels en vergelijkbare volgtechnieken die Ghostery schaart onder de noemer ‘advertising’ trackers.

Browser fingerprinting

We hebben ook onderzocht of websites gebruik maken van 'canvas fingerprinting'. Met die techniek kunnen websites je herkennen zonder cookies.

Blijf op de hoogte!

Wil jij op de hoogte blijven van ons actiethema ‘Baas over eigen data’? Laat hier dan je e-mailadres achter.

We zullen je mailadres alleen gebruiken voor berichten over dit thema, maximaal 8 keer keer per jaar. Afmelden kan in de nieuwsbrief zelf. Lees in onze Privacyverklaring meer over hoe de Consumentenbond omgaat met persoonsgegevens.

Voer een geldige e-mailadres in a.u.b.

Bedankt voor je inschrijving

Meer informatie:

Nieuw & interessant

  • Mediapool MG-Veilig online1200x800
    22 aug.

    Bescherm je privacy én je computer

    Denk naast je online-privacy ook aan veilig internetten. Vraag de gratis Minigids Veilig online aan met tips hoe je nepmails herkent, oplichting op Marktplaats voorkomt of een virusscanner kiest.

  • firefox-advies
    8 aug.

    Meer privacy in Firefox

    Van alle populaire browser beschermt Firefox je privacy het beste. Door je instellingen aan te passen kun je je browser nog beter gebruiken. Met deze tips krijg je meer surfgemak en privacy.
  • Artikel cookies verwijderen stappenplan
    15 jul.

    Sites falen opnieuw bij privacycheck

    Deze zomer meldden wij dat 20 websites met informatie over ziekten en verslavingen slordig omspringen met je privacy. Helaas: bij een tweede check zakt de meerderheid van dezelfde sites opnieuw.
  • wachtwoord-computer
    15 jul.

    Risico's van een onveilig wachtwoord

    Internetgebruikers moeten voor heel wat websites een veilig wachtwoord bedenken. Een veilig wachtwoord vormt de sleutel tot persoonlijke gegevens die beslist niet in verkeerde handen mogen vallen. Hoe makkelijk komt een hacker aan je wachtwoord? En welke risico's loop je met een onveilig, te makkelijk wachtwoord?