Gevolgd op internet: honderden websites schenden je privacy

time icon
NOS
Geschreven door
Joost Schellevis, Winny de Jong en Danny Simons

Heb je weleens het idee dat je telefoon meer over je weet dan jijzelf? Daar is een verklaring voor: honderden websites volgen je surfgedrag, ook als je cookie-pop-ups op websites negeert.

Daardoor weten advertentiebedrijven waarin jij geïnteresseerd bent. Ruim 1300 websites werken daaraan mee, zonder dat je toestemming hebt gegeven, blijkt uit onderzoek van de NOS.

Er zijn grote, populaire websites van winkels en media bij, maar ook sites van scholen, zorginstellingen en zorgverzekeraars.

"Hieruit blijkt dat veel websites mogelijk de wet overtreden. We gaan op korte termijn zelf een onderzoek beginnen naar de naleving van privacyregels door websites", laat een woordvoerder van privacywaakhond Autoriteit Persoonsgegevens weten.

NOS Stories legt je in deze video uit hoe we dit onderzoek hebben gedaan en vertelt je hoe bedrijven je nog meer in de gaten houden.

Het is verboden om zonder toestemming zogenoemde tracking cookies op iemands computer of telefoon te plaatsen. Maar in de praktijk gebeurt dat dus wel. Sommige websites plaatsten al bij het eerste bezoek tientallen of zelfs honderden volg-cookies.

Surfgedrag volgen mag, maar wel met toestemming.

Ict-jurist Charlotte Meindersma

Met dat soort cookies kunnen advertentienetwerken in kaart brengen wat je interesses zijn, en je gepersonaliseerde advertenties voorschotelen. "Dat mag, maar daar is wel toestemming voor nodig", zegt ict-juriste Charlotte Meindersma.

De site die het het bontst maakte, is die van de regionale omroep RTV Rijnmond. Die site plaatste meer dan duizend tracking cookies. Dat is inmiddels rechtgezet; volgens de omroep ging het om een fout.

Ook de onder jongeren populaire websites Parra.nu en Girlscene plaatsten honderden tracking cookies, zonder dat gebruikers daarvoor toestemming geven. Parra.nu laat weten bezig te zijn met het oplossen van de problemen; Girlscene kon tot dusverre niet inhoudelijk reageren.

Wie een vakantiehuisje uitzoekt bij Center Parcs, krijgt tientallen tracking cookies ("het staat op ons netvlies", laat de organisatie weten). Spullen uitzoeken op Marktplaats gaat ook niet zonder tientallen volg-cookies op je computer of smartphone te krijgen.

Grijs gebied

Een deel van de websites zoekt wat meer een grijs gebied op. Ze plaatsen bij het eerste bezoek nog geen cookies, maar pas als je doorsurft op de site. Het idee: als je de site blijft gebruiken, ben je blijkbaar akkoord met het plaatsen van tracking cookies.

Dat is wat kort door de bocht, waarschuwen juristen. "De rechter zal zich daar nog over moeten buigen, maar zeer waarschijnlijk is dit niet toegestaan", zegt ict-jurist Arnoud Engelfriet.

Onder meer Nu.nl, Libelle, Startpagina en Linda hanteren deze werkwijze. "Met onze cookiemelding bieden we bezoekers de mogelijkheid zich te informeren en persoonlijke voorkeuren aan te geven", aldus een woordvoerder van Sanoma, uitgever van Nu.nl en Startpagina. Negeren ze de mogelijkheid om die voorkeuren aan te passen en bijvoorbeeld volgcookies uit te zetten, dan gaan ze in Sanoma's visie dus akkoord.

Cookies en cookies

Niet alle cookies zijn verboden als een gebruiker geen toestemming geeft. Zogenoemde functionele cookies, die nodig zijn voor het functioneren van een website, mogen wel. Bijvoorbeeld als je op een website inlogt: dankzij een cookie hoef je niet elke keer opnieuw in te loggen. Ook cookies die worden gebruikt voor website-statistieken mogen soms worden geplaatst zonder dat gebruikers toestemming hoeven te geven.

Websites met advertenties plaatsen tracking cookies bij het tonen van die advertenties. Webwinkels en andere sites zonder reclame doen dat om advertentienetwerken te laten weten dat je op hun site bent geweest, zodat je vervolgens op een ander deel van het internet advertenties van dat bedrijf kunt zien. Daarom zie je bijvoorbeeld overal advertenties van een paar schoenen dat je hebt bekeken.

Privacy-professor Gerrit-Jan Zwenne, die de cookiemeldingen van Nu.nl en Linda heeft bekeken, trekt dat in twijfel. "De vraag is of gebruikers snappen dat als ze niet op akkoord klikken, dat door die sites wordt opgevat als toestemming voor het plaatsen van cookies."

Zes jaar oude wet

Dat zo veel sites zich nog steeds niet aan de cookiewet houden, is opvallend. De huidige, strenge cookieregels gelden al sinds 2013. Wel zijn ze aangescherpt met de nieuwe, Europese privacywet.

"De privacy-impact van één website die je volgt, is nog gering", zegt David Korteweg van privacy-organisatie Bits of Freedom. "Maar je surfgedrag op duizenden websites kan worden gecombineerd tot een profiel en uiteindelijk zegt dat heel veel over jou als persoon."

Die profielen kunnen bijvoorbeeld worden gebruikt voor politieke advertenties die precies zijn toegesneden op jouw gedrag. "Dat maakt ons kwetsbaar, want het houdt ons een eenzijdige spiegel voor", zegt Korteweg.

Ook de Autoriteit Persoonsgegevens is kritisch. "Deze regels zijn er inmiddels zes jaar, dan mag verwacht worden dat ze bekend zijn", zegt de woordvoerder.

Kwade opzet

Branche-organisatie voor data en marketing DDMA zegt dat het lastig is om te voldoen aan de cookiewet, omdat een website continu verandert en veel sites afhankelijk zijn van externe partijen. Die kunnen allemaal weer cookies plaatsen. "In Nederland mag je alleen ná toestemming advertentiecookies plaatsen, maar in de praktijk blijkt het helaas niet altijd zo eenvoudig."

Volgens ict-juriste Meindersma is er dan ook niet altijd sprake van kwade opzet. "In sommige gevallen wel hoor, maar ik zie ook veel onwetendheid."

Met medewerking van Jorn Kompeer en Anna Pruis.

Verantwoording

Voor dit artikel onderzocht de NOS circa 10.000 internetadressen. Daarvan bleken 3237 websites cookies te plaatsen. In 1341 gevallen ging het om tracking cookies.

Met 'tracking cookie' bedoelen we cookies die worden geplaatst vanaf domeinnamen waarvan bekend is dat de domeinen worden gebruikt voor het volgen van het surfgedrag van sitebezoekers. Daaronder vallen ook cookies die pas na het eerste bezoek worden gebruikt voor tracking.

We lieten onze onderzoekscomputer elke website geautomatiseerd tien keer bezoeken. We bewaarden bij elk bezoek de geplaatste cookies, zodat we precies konden reconstrueren welke cookies bij welk bezoek werden geplaatst. Met steekproeven hebben we die werkwijze gecontroleerd.

Vervolgens scheidden we met de hand tracking cookies van cookies die wel mogen worden geplaatst, zoals functionele cookies en analytische cookies. De onderzoeksmethode hebben we vooraf bij twee onafhankelijke experts getoetst.

Het beleid van de NOS is om op de NOS-site niet ongevraagd tracking cookies te plaatsen. Toch is niet compleet uit te sluiten dat er op een enkele webpagina bijvoorbeeld een Youtube-video geëmbed is; met enkele tracking cookies als gevolg.

Het kinderkanaal Zapp van de NPO serveert wel standaard een tracking cookie van Google. Volgens een woordvoerder van de NPO gaat het om een tijdelijke systeemfout, die erin is geslopen bij een update. De NPO hoopt dat het probleem binnen een week is opgelost. De publieke omroepen zijn eerder op de vingers getikt omdat ze gebruikers uitsloten die geen tracking cookies accepteerden.