Heb je weleens het idee dat je telefoon meer over je weet dan jijzelf? Daar is een verklaring voor: honderden websites volgen je surfgedrag, ook als je cookie-pop-ups op websites negeert.
Daardoor weten advertentiebedrijven waarin jij geïnteresseerd bent. Ruim 1300 websites werken daaraan mee, zonder dat je toestemming hebt gegeven, blijkt uit onderzoek van de NOS.
Er zijn grote, populaire websites van winkels en media bij, maar ook sites van scholen, zorginstellingen en zorgverzekeraars.
"Hieruit blijkt dat veel websites mogelijk de wet overtreden. We gaan op korte termijn zelf een onderzoek beginnen naar de naleving van privacyregels door websites", laat een woordvoerder van privacywaakhond Autoriteit Persoonsgegevens weten.
Het is verboden om zonder toestemming zogenoemde tracking cookies op iemands computer of telefoon te plaatsen. Maar in de praktijk gebeurt dat dus wel. Sommige websites plaatsten al bij het eerste bezoek tientallen of zelfs honderden volg-cookies.
Surfgedrag volgen mag, maar wel met toestemming.
Met dat soort cookies kunnen advertentienetwerken in kaart brengen wat je interesses zijn, en je gepersonaliseerde advertenties voorschotelen. "Dat mag, maar daar is wel toestemming voor nodig", zegt ict-juriste Charlotte Meindersma.
De site die het het bontst maakte, is die van de regionale omroep RTV Rijnmond. Die site plaatste meer dan duizend tracking cookies. Dat is inmiddels rechtgezet; volgens de omroep ging het om een fout.
Ook de onder jongeren populaire websites Parra.nu en Girlscene plaatsten honderden tracking cookies, zonder dat gebruikers daarvoor toestemming geven. Parra.nu laat weten bezig te zijn met het oplossen van de problemen; Girlscene kon tot dusverre niet inhoudelijk reageren.
Wie een vakantiehuisje uitzoekt bij Center Parcs, krijgt tientallen tracking cookies ("het staat op ons netvlies", laat de organisatie weten). Spullen uitzoeken op Marktplaats gaat ook niet zonder tientallen volg-cookies op je computer of smartphone te krijgen.
Grijs gebied
Een deel van de websites zoekt wat meer een grijs gebied op. Ze plaatsen bij het eerste bezoek nog geen cookies, maar pas als je doorsurft op de site. Het idee: als je de site blijft gebruiken, ben je blijkbaar akkoord met het plaatsen van tracking cookies.
Dat is wat kort door de bocht, waarschuwen juristen. "De rechter zal zich daar nog over moeten buigen, maar zeer waarschijnlijk is dit niet toegestaan", zegt ict-jurist Arnoud Engelfriet.
Onder meer Nu.nl, Libelle, Startpagina en Linda hanteren deze werkwijze. "Met onze cookiemelding bieden we bezoekers de mogelijkheid zich te informeren en persoonlijke voorkeuren aan te geven", aldus een woordvoerder van Sanoma, uitgever van Nu.nl en Startpagina. Negeren ze de mogelijkheid om die voorkeuren aan te passen en bijvoorbeeld volgcookies uit te zetten, dan gaan ze in Sanoma's visie dus akkoord.
Privacy-professor Gerrit-Jan Zwenne, die de cookiemeldingen van Nu.nl en Linda heeft bekeken, trekt dat in twijfel. "De vraag is of gebruikers snappen dat als ze niet op akkoord klikken, dat door die sites wordt opgevat als toestemming voor het plaatsen van cookies."
Zes jaar oude wet
Dat zo veel sites zich nog steeds niet aan de cookiewet houden, is opvallend. De huidige, strenge cookieregels gelden al sinds 2013. Wel zijn ze aangescherpt met de nieuwe, Europese privacywet.
"De privacy-impact van één website die je volgt, is nog gering", zegt David Korteweg van privacy-organisatie Bits of Freedom. "Maar je surfgedrag op duizenden websites kan worden gecombineerd tot een profiel en uiteindelijk zegt dat heel veel over jou als persoon."
Die profielen kunnen bijvoorbeeld worden gebruikt voor politieke advertenties die precies zijn toegesneden op jouw gedrag. "Dat maakt ons kwetsbaar, want het houdt ons een eenzijdige spiegel voor", zegt Korteweg.
Ook de Autoriteit Persoonsgegevens is kritisch. "Deze regels zijn er inmiddels zes jaar, dan mag verwacht worden dat ze bekend zijn", zegt de woordvoerder.
Kwade opzet
Branche-organisatie voor data en marketing DDMA zegt dat het lastig is om te voldoen aan de cookiewet, omdat een website continu verandert en veel sites afhankelijk zijn van externe partijen. Die kunnen allemaal weer cookies plaatsen. "In Nederland mag je alleen ná toestemming advertentiecookies plaatsen, maar in de praktijk blijkt het helaas niet altijd zo eenvoudig."
Volgens ict-juriste Meindersma is er dan ook niet altijd sprake van kwade opzet. "In sommige gevallen wel hoor, maar ik zie ook veel onwetendheid."
Met medewerking van Jorn Kompeer en Anna Pruis.